HyperSwap钓鱼攻击:用户因虚假X账户损失12,000美元
Hyperliquid生态系统尽管在技术上具有吸引力,但持续暴露出与人为因素和审核不足相关的漏洞。此次攻击目标是运行在HyperEVM层上的去中心化交易所HyperSwap。一名资产持有者因落入经典钓鱼陷阱,损失约12,000美元。
攻击手法:冒充与信任
事件分析显示,攻击者采用了惯用套路。他们在社交平台X(原Twitter)上创建了HyperSwap官方页面的仿冒账号。账号名称与官方仅差几个字符,快速浏览时极易忽略。这正是攻击者的算计所在。
用户看到以交易所名义发布的"空投"帖子后,点击了链接。他并未进入官方网站,而是进入了一个视觉上与官网无异的钓鱼克隆页面。在连接钱包并确认了一笔他以为是领取免费代币的常规验证交易后,受害者实际上授予了诈骗者管理其资金的权限。
盗窃时间线:不到两分钟
区块链浏览器hyperevmscan的数据清晰呈现了整个过程。攻击的活跃阶段仅持续两分钟——从2026年6月29日UTC时间20:21到20:23。被安全服务HashDit标记为Fake_Phishing3746335的诈骗者地址,首先利用此前获得的权限,将代表受害者流动性池份额的NFT转移至自己的钱包。
关键点在于:这笔操作由攻击者本人发起并支付费用。此时受害者已无需再签署任何内容。这正是"资金盗取器"的本质——权限被提前骗取,而资产的实际转移则在所有者不知情的情况下稍后发生。随后,诈骗者从NFT中提取了约3,935 USDC和116 WHYPE,总计约12,100美元。
销毁痕迹与项目反应
随后,资金通过合法跨链桥服务LI.FI整合为HYPE,并发送至以太坊网络。在那里,它们被转入一个不久前创建、仅使用过一次的"中转"钱包。这是典型的洗钱链条环节。
值得注意的是项目方对事件的反应。受害者曾试图联系HyperSwap团队及Hyperliquid核心团队,以报告恶意链接的存在。但据其所述,未收到任何回应。当时HyperSwap唯一的活跃沟通渠道(Discord)处于不可用状态。这开创了一个令人担忧的先例:用户在遭受攻击后孤立无援,无法获得平台支持。
作为分析师,我的评论:此案例并非单一用户的故事。这是对整个Hyperliquid生态系统的警示。对钓鱼威胁缺乏快速响应以及支持渠道失效,正在削弱用户对项目的信任。用户必须保持最高警惕:手动核对网站URL,绝不点击社交媒体上的"空投"链接,并定期审查钱包中已授权的权限。去中心化技术并不能取代基本的数字安全准则。