Użytkownik HyperSwap stracił około 12 300 USD po kliknięciu w fałszywy link do airdropu na X, zaakceptowaniu jednego żądania portfela i nieświadomym przekazaniu oszustowi kontroli nad swoimi środkami.
BeInCrypto odtworzyło atak z pomocą ofiary, korzystając z publicznych danych blockchain. Dane pokazują szybką operację phishingową w ekosystemie Hyperliquid.
Oszust przejął pozycję ofiary na HyperSwap, wypłacił środki, zamienił je na HYPE i przetransferował pieniądze na Ethereum w mniej niż dwie minuty.
Uwaga: HyperSwap to giełda działająca na blockchainie Hyperliquid. HyperSwap ma własny zespół, a Hyperliquid jej nie zarządza — podobnie jak twórcy Ethereum nie zarządzają aplikacjami typu Uniswap, które na nim działają.
Pułapka zaczęła się od fałszywego konta na X
Ofiara korzystała z HyperSwap. Tak jak inne zdecentralizowane giełdy, pozwala handlować bezpośrednio z własnego portfela, bez udziału firmy przechowującej środki.
Ofiara zasiliła pulę płynności na HyperSwap. W praktyce zdeponowała kryptowaluty, aby inni użytkownicy mogli nimi handlować. W zamian mogła zarabiać na opłatach.
W HyperSwap V3 ta pozycja była reprezentowana przez NFT #178549. To nie był obrazek czy kolekcjonerski token. Przypominało to cyfrowy paragon. Ten, kto posiadał ten NFT, kontrolował zgromadzone środki.
Ofiara powiedziała BeInCrypto, iż zobaczyła na X post promujący airdrop. Airdrop to rozdanie tokenów, często organizowane przez projekty kryptowalutowe, aby nagradzać użytkowników.
Post wyglądał na opublikowany przez HyperSwap. ale to był fałsz. Pochodził z konta podszywającego się, którego nazwa do złudzenia przypominała oryginał — prawdziwe konto HyperSwapX, do którego prowadzi link z oficjalnej strony projektu.
Ofiara kliknęła w link i podpięła swój portfel. Myślała, iż sprawdza, czy kwalifikuje się do airdropu. Jednak zatwierdziła transakcję, która przyznała oszustowi prawo do przeniesienia jej pozycji na HyperSwap.
To zatwierdzenie przesądziło o wszystkim.
Jedno zatwierdzenie dało oszustowi kontrolę
Portfele kryptowalutowe często proszą użytkowników o zatwierdzanie transakcji. Niektóre są niegroźne. Inne pozwalają adresowi trzeciemu przesuwać cenne aktywa.
Dla większości użytkowników ostrzeżenie może wyglądać zwyczajnie. Fałszywa strona może sprawić, iż niebezpieczne zatwierdzenie wygląda jak codzienny etap przy odbiorze tokenów.
Tak było w tym przypadku.
O godzinie 20:21:51 czasu UTC, 29 czerwca, oszust skorzystał z wcześniejszego zatwierdzenia i przeniósł NFT #178549 z portfela ofiary. Ofiara w tym momencie niczego nie podpisywała. Oszust miał już wcześniej przyznane uprawnienia.
Adres oszusta to 0x880C95246D7525b84902E6c040818a7C72d3Aa77. W eksploratorze HyperEVM oznaczono go jako Fake_Phishing3746335 z tagiem „Phish / Hack” zgłoszonym przez HashDit.
NFT trafił na kolejny portfel kontrolowany przez oszusta. Po tej operacji atakujący przejął pozycję płynności ofiary.
Dwadzieścia pięć sekund później oszust wypłacił środki stojące za NFT. Pozycja zawierała około 3935 USDC oraz 116,6 WHYPE. Łączna wartość wynosiła około 12 300 USD w tamtym momencie.
Pieniądze zostały wyprowadzone błyskawicznie
Po wypłacie środków oszust przygotował się do przetransferowania ich z HyperEVM.
Najpierw portfel przyznał uprawnienia LI.FI, legalnemu narzędziu do swapów i mostów cross-chain. Most umożliwia przesyłanie kryptowalut między różnymi blockchainami.
Nie ma dowodów, by LI.FI brało udział w kradzieży. Oszust wykorzystał tę usługę po przejęciu środków.
Następnie oszust zamienił skradzione USDC i WHYPE na około 175,9 HYPE. Sekundy później HYPE został przeprawiony z HyperEVM na Ethereum.
Środki trafiły na adres 0xFa47eef42fB2C63DCEA0cAC2295a58036052932D. Już na Ethereum portfel odebrał środki i prawie natychmiast przesłał dalej 7,035 ETH w jednej transakcji.
Portfel powstał chwilę wcześniej. Został wykorzystany tylko raz i pozostał praktycznie pusty. To typowy schemat w łańcuchach prania pieniędzy. Skradzione środki przechodzą przez tymczasowe portfele, by utrudnić śledzenie.
Od transferu NFT do transakcji mostu minęło około 84 sekundy aktywnej kradzieży.
Szerszy schemat phishingowy
Portfel oszusta wskazuje na działanie szerszej grupy przestępczej.
Dane z eksploratora analizowane przez BeInCrypto pokazują, iż adres ten był aktywny przez około 33 dni. Był również powiązany z mniej więcej 25 innymi adresami. To sugeruje, iż atakujący zaatakował więcej niż jednego użytkownika.
Dla ofiar problem ma charakter praktyczny. Zapisy w blockchainie pokazują, co się stało. Rzadko zatrzymują jednak oszustwo w czasie rzeczywistym.
Jeśli użytkownik podpisze złą zgodę, oszust działa błyskawicznie. Gdy środki trafią na inne blockchainy, odzyskanie ich staje się jeszcze trudniejsze.
Ofiara próbowała później zgłosić podejrzany link i usunąć go. Powiedział, iż czuł się zignorowany i zaczął podejrzewać, iż zespół HyperSwap nie podjął działań.
Dowody on-chain przeanalizowane przez BeInCrypto wskazują na atak phishingowy z fałszywego konta. Fałszywe konto X było oddzielone od oficjalnego profilu HyperSwap. Oficjalny profil i oficjalny kontrakt HyperSwap nie były powiązane z kradzieżą.
Doświadczenia ofiary pokazują jednak poważną słabość ekosystemu. Użytkownikom grożą ataki przez fałszywe konta na portalach społecznościowych, niejasne zatwierdzenia portfela prowadzą do utraty środków, a po kradzieży pozostaje im kilka jasnych opcji działania.
Podczas rozmowy z dziennikarzami BeInCrypto ofiara stwierdziła, iż próbowała różnych sposobów, by ostrzec zespół Hyperliquid przed oszustwem, ale nie otrzymała odpowiedzi.
Według ofiary jedynym aktywnym kanałem komunikacji z HyperSwap był Discord. W chwili pisania tekstu link jest nieaktualny. Próbował więc przekazać problem do zespołu z ekosystemu, w którym działa projekt, ale bez powodzenia.
Ogólnie rzecz biorąc, metoda oszusta była prosta. Fałszywe konto promowało fałszywy airdrop. Fałszywa strona wymuszała zgodę portfela. Oznaczony portfel phishingowy przejął pozycję HyperSwap ofiary, wyczyścił ją i przesłał środki na Ethereum.
Strata wyniosła ok. 12 300 USD. Kradzież trwała poniżej dwóch minut.
Ofiara zasugerowała, iż pracownicy HyperSwap mogą być zamieszani w kradzież lub celowo ją ukrywają. Jednak BeInCrypto nie znalazło żadnych dokładnych informacji potwierdzających te twierdzenia.
BeInCrypto Polska - Jak fałszywy airdrop HyperSwap wyłudził 12 300 USD w 84 sekundy

3 godzin temu







