针对HyperSwap的钓鱼攻击:诈骗者如何通过虚假账户盗取12,000美元
Hyperliquid生态系统尽管在技术上具有吸引力,但在用户安全方面却暴露出令人担忧的漏洞。近期,一名资产持有者在去中心化交易所HyperSwap(运行于HyperEVM层)上损失约1.2万美元的事件,揭示了一种经典但同样危险的钓鱼诈骗手法。受害者因点击社交平台X上发布的虚假链接而中招。
攻击解剖:从仿冒到盗取
诈骗者采用了一套成熟的作案手法。他们创建了一个与HyperSwap官方页面高度相似的仿冒账号,仅将名称修改了几个字符。正是从这个虚假账号发布了看似指向免费代币空投的链接。用户未察觉异常,点击后进入了一个视觉上与真实网站无异的克隆页面。
当受害者连接钱包并确认交易时,高潮来临——他以为自己正在参与合法的空投资格验证。实际上,这一操作赋予了攻击者管理其流动性池资产的权限(授权)。从外观上看,这次确认与真实服务中的标准操作毫无区别,因此直到资金被转走,攻击都未被察觉。
闪电盗取与痕迹清除
盗取行动在2026年6月29日20:21至20:23(UTC)的两分钟内完成。首先,被安全服务HashDit标记为Fake_Phishing3746335的诈骗地址利用先前获得的权限,将证明受害者存款权益的NFT转移至其钱包。需要强调的是:这笔交易由攻击者主动发起并支付费用——受害者此时并未签署任何操作。这正是“资金吸干器”的阴险之处:权限被提前骗取,而资金则在所有者不知情的情况下被后续转走。
随后,黑客从被盗的NFT中提取了约3935 USDC和116 WHYPE,总计约1.21万美元。通过使用合法的跨链桥服务LI.FI,他将所有资产兑换为HYPE,并从HyperEVM网络转移至以太坊网络,总额约1.23万美元。利用合法工具进行跨链转账是一种精妙的手段,不仅增加了追踪难度,还让受害者误以为交易所或桥接服务本身参与了盗窃。
项目反应与系统性问题
发现资产丢失后,用户试图联系项目团队以屏蔽或删除自6月26日起便出现在评论区的诈骗链接,但未获回应。据受害者称,与HyperSwap唯一的活跃沟通渠道是Discord,但截至撰稿时,该链接已失效。向Hyperliquid团队反映情况的尝试也以失败告终——对方仅建议其自行联系HyperSwap开发者。
此事件并非孤例,而是系统性问题的体现。浏览器数据显示,该诈骗地址活跃约一个月,关联约25个不同钱包,表明这是一套成熟且流水线化的作案模式。受害者本人推测,HyperSwap员工可能参与了盗窃或故意隐瞒此事。
专家观点。 此案例生动展示了技术去中心化若忽视用户安全体验,将如何演变为“盲区”。在DeFi领域,资产保护的责任仍落在用户自身。然而,生态系统项目,尤其是像Hyperliquid这样引人注目的项目,应更积极地部署预防性安全机制和事件响应措施。忽视漏洞报告,无异于直接走向信任崩塌和声誉损失——其代价可能远超单次盗窃金额。