加密新闻

05.07.2026
06:41

针对Hyperliquid的钓鱼攻击:诈骗者如何通过虚假账户窃取12,000美元

尽管Hyperliquid生态系统在技术上颇具吸引力,但其用户安全漏洞依然频现。近期一起事件中,一名受害者在去中心化交易所HyperSwap(运行于HyperEVM层)上损失约1.2万美元,暴露了一种经典但同样危险的钓鱼骗局。诈骗者利用社会工程学和用户疏忽,手段嚣张且精心策划。

攻击手法:账号冒充与克隆网站

事件始于一名在HyperSwap流动性池中持有资产的用户,在社交平台X(原Twitter)上看到一条看似来自交易所官方账号的帖子。该帖子声称提供空投——免费代币分发。受害者点击链接后进入一个视觉上与真实HyperSwap完全相同的网站,但这其实是一个钓鱼克隆网站。

关键点在于:发布帖子的并非官方账号,而是其仿冒账号。账号名称仅差几个字母,在快速浏览信息流时极易被忽略。诈骗者成功伪造了社交账号和交易所网站。

盗窃时刻:在所有者不知情下“授权”

在虚假网站上,用户连接了自己的钱包,并以为只是在检查领取免费代币的资格,于是确认了一笔交易。实际上,这一操作授权了诈骗者管理其在流动性池中的资产。从表面看,该操作与在合法服务上的常规操作无异,因此骗局未被察觉。

整个盗窃过程不到两分钟。2026年6月29日UTC时间20:21至20:23,诈骗地址(被hyperevmscan浏览器标记为Fake_Phishing3746335)利用已获得的权限,将代表流动性池份额的NFT转移至其钱包。重要提示:该交易由诈骗者发起并支付费用——受害者此时未进行任何签名。这正是“盗取器”的核心:提前骗取访问权限,随后在所有者不参与的情况下转移资金。

随后,诈骗者从盗取的NFT中提取了全部资产:约3935 USDC和116 WHYPE,总计约1.21万美元。之后,通过合法跨链桥服务LI.FI,将所有资产兑换为HYPE,并将约1.23万美元从HyperEVM网络转移至以太坊网络。

项目回应与社区教训

发现资产丢失后,受害者试图联系Hyperliquid团队,请求删除仍在评论中出现的钓鱼网站链接。但据其所述,未得到任何回应。与HyperSwap的唯一活跃沟通渠道是Discord,但当时已无法使用。通过其他渠道联系团队的尝试也均告失败。

此案例鲜明地表明,DeFi的安全性始于用户自身的警惕性。诈骗者利用用户对品牌的信任和人为疏忽。 我的建议:始终逐字符检查网站地址和账号名称,切勿通过社交平台帖子中的链接访问交易所,而应手动输入网址。最重要的是,切勿签署任何含义不明的交易,尤其是涉及授权管理代币的操作。定期审查并通过专业服务撤销已授权权限,是任何DeFi协议用户必须执行的程序。