Новини криптоміра

05.07.2026
14:26

Фішингова атака на Hyperliquid: викрадено $12 000 через підроблений акаунт у X

Користувач децентралізованої біржі HyperSwap, що працює на блокчейні HyperEVM, втратив близько $12 000 внаслідок витонченої фішингової атаки. Інцидент стався через шахрайське посилання, опубліковане в соціальній мережі X (Twitter). Під час аналізу транзакцій у блокчейн-оглядачі було відновлено повну картину атаки, яка є класичним прикладом соціальної інженерії з використанням "дрейнера" (drainer).

Як це сталося

Постраждалий тримав активи в пулі ліквідності HyperSwap. Право на частку в пулі підтверджується унікальним NFT. Увагу жертви привернув пост в офіційному акаунті HyperSwap на X, який обіцяв безкоштовний "еірдроп" (airdrop). Перейшовши за посиланням, користувач потрапив на сайт, зовні не відмінний від справжнього, але насправді це був фішинговий клон.

Ключовою деталлю стало те, що пост був опублікований не з офіційного акаунту біржі, а з його підробленого дубліката. Назва акаунту-двійника відрізнялася від справжнього лише на пару літер, що легко вислизає від уваги при побіжному перегляді. Зловмисники створили переконливу копію сторінки, і користувач, не помітивши підміни, прийняв фальшивку за чисту монету.

Механізм крадіжки: "дрейнер" у дії

На підробленому сайті жертва підключила свій гаманець і підтвердила операцію, думаючи, що просто перевіряє право на отримання безкоштовних токенів. Насправді цією дією вона видала шахраю дозвіл на управління своїм вкладенням — NFT, що підтверджує частку в пулі. Зовні такий запит на підтвердження нічим не відрізняється від звичайних операцій на легітимних сервісах, тому обман залишається непоміченим до моменту списання коштів.

Активна фаза крадіжки зайняла менше двох хвилин — з 20:21 до 20:23 UTC 29 червня 2026 року. Спочатку шахрайська адреса, позначена сервісом безпеки HashDit як Fake_Phishing3746335, скориставшись раніше отриманим доступом, перевела NFT із вкладенням жертви на свій гаманець. Важливо зазначити: цю транзакцію ініціював і оплатив сам зловмисник. Жертва в цей момент нічого не підписувала. У цьому і полягає суть "дрейнера": доступ виманюють заздалегідь, а списання здійснюють пізніше, без участі власника.

Потім шахрай вивів із NFT вкладені кошти: близько 3935 USDC та 116 WHYPE, що в сумі склало приблизно $12 100. Використовуючи легальний сервіс обміну та переказів LI.FI, він конвертував все вкрадене в єдиний токен HYPE і відправив близько $12 300 з мережі HyperEVM у мережу Ethereum.

Як замітали сліди

У мережі Ethereum кошти надійшли на адресу, створену незадовго до цього. Вона була використана лише один раз: отримала кошти, майже одразу вивела їх далі однією операцією і залишилася практично порожньою. Такий одноразовий "перевалочний" гаманець — типовий елемент ланцюжка виведення викраденого. Примітно, що для виведення зловмисник використав звичайний, легальний сервіс міжмережевих переказів, а не якийсь "хакерський" інструмент. Це ускладнює відстеження та створює у постраждалого хибне враження, ніби винний сам сервіс або біржа.

Аналіз показує, що шахрайська адреса була активною близько місяця і пов'язана приблизно з 25 різними гаманцями. Це вказує на налагоджену, поставлену на потік схему, а не на випадковий інцидент.

Реакція проекту та уроки

Виявивши пропажу, користувач намагався зв'язатися з командою HyperSwap та Hyperliquid, щоб підозріле посилання видалили, але реакції не було. Постраждалий припускає, що співробітники HyperSwap можуть бути причетні до крадіжки або навмисно її приховують. Єдиним активним каналом зв'язку з HyperSwap був Discord, який на момент написання статті виявився недійсним.

Думка експерта: Цей інцидент — яскраве нагадування про те, що у світі DeFi безпека користувача на 99% залежить від його власної пильності. Жоден аудит смарт-контрактів не захистить від фішингового посилання в соцмережах. Ключові правила: ніколи не переходити за посиланнями на біржі з постів, завжди перевіряти назву акаунту політерно і, найголовніше, ніколи не підписувати в гаманці операції, сенс яких не до кінця зрозумілий. Регулярна перевірка та відкликання виданих дозволів через перевірені сервіси мають стати обов'язковою рутиною для кожного, хто працює з DeFi.