Фішингова атака на HyperSwap: як шахраї вкрали $12 000 через підроблений акаунт
Екосистема Hyperliquid, попри свою технологічну привабливість, демонструє тривожну вразливість у питаннях безпеки користувачів. Нещодавній інцидент, у результаті якого один із власників активів втратив близько $12 000 на децентралізованій біржі HyperSwap (що працює на шарі HyperEVM), виявив класичну, але від цього не менш небезпечну схему фішингу. Постраждалий став жертвою шахрайського посилання, розміщеного в соціальній мережі X.
Анатомія атаки: від підміни до крадіжки
Шахраї діяли за відпрацьованим сценарієм. Вони створили акаунт-двійник офіційної сторінки HyperSwap, змінивши назву лише на кілька символів. Саме з цього фейкового профілю і було опубліковано посилання, яке нібито вело на роздачу безкоштовних токенів (airdrop). Користувач, не помітивши підміни, перейшов за ним і потрапив на сайт-клон, візуально не відмінний від справжнього.
Кульмінація настала, коли жертва підключила свій гаманець і підтвердила транзакцію, вважаючи, що бере участь у легітимній перевірці права на отримання безкоштовних монет. Насправді цією дією він надав зловмисникам дозвіл (approve) на управління своїм внеском у пулі ліквідності. Зовні це підтвердження нічим не відрізнялося від стандартних операцій на реальних сервісах, що й дозволило атаці залишитися непоміченою до самого моменту списання коштів.
Блискавична крадіжка та заметання слідів
Активна фаза крадіжки вклалася у дві хвилини — з 20:21 до 20:23 UTC 29 червня 2026 року. Спочатку шахрайська адреса, позначена сервісом безпеки HashDit як Fake_Phishing3746335, скористалася раніше отриманим доступом і перевела NFT, що підтверджує право на внесок жертви, на свій гаманець. Важливо підкреслити: цю операцію ініціював і оплатив сам зловмисник — жертва в цей момент нічого не підписувала. У цьому й полягає підступність «дрейнера» (drainer): доступ виманюється заздалегідь, а списання відбувається пізніше, без відома власника.
Потім хакер вилучив із вкраденого NFT активи: близько 3935 USDC та 116 WHYPE, що в сумі становить приблизно $12 100. Використовуючи легальний сервіс крос-чейн мостів LI.FI, він конвертував усе в HYPE і вивів близько $12 300 із мережі HyperEVM у мережу Ethereum. Використання легітимного інструменту для переказу коштів між мережами — витончений хід, який ускладнює відстеження та створює у постраждалого хибне враження, ніби до крадіжки причетна сама біржа або сервіс-міст.
Реакція проєкту та системна проблема
Виявивши пропажу, користувач спробував зв'язатися з командою проєкту, щоб заблокувати або видалити шахрайське посилання, яке висіло в коментарях з 26 червня. Однак реакції не було. За словами постраждалого, єдиним активним каналом зв'язку з HyperSwap був Discord, але на момент написання матеріалу посилання на нього виявилося недійсним. Спроби донести інформацію до команди Hyperliquid також не увінчалися успіхом — у відповідь він отримав рекомендацію самостійно звертатися до розробників HyperSwap.
Цей інцидент — не поодинокий випадок, а частина системної проблеми. Дані оглядача показують, що шахрайська адреса була активною близько місяця та пов'язана приблизно з 25 різними гаманцями, що вказує на налагоджену, поставлену на потік схему. Сам постраждалий висловив припущення, що співробітники HyperSwap можуть бути причетні до крадіжки або навмисно її приховують.
Думка експерта. Цей кейс — яскравий приклад того, як технологічна децентралізація без належної уваги до безпеки користувацького досвіду перетворюється на «сліпу зону». Відповідальність за захист активів у DeFi, як і раніше, лежить на самому користувачеві. Однак проєкти екосистеми, особливо такі помітні, як Hyperliquid, повинні активніше впроваджувати механізми превентивного захисту та реагування на інциденти. Ігнорування повідомлень про вразливості — це прямий шлях до втрати довіри та репутаційних витрат, які можуть виявитися набагато вищими за суму разової крадіжки.