针对Hyperliquid的钓鱼攻击:通过虚假X账户窃取12,000美元
一名在HyperEVM区块链上运营的去中心化交易所HyperSwap的用户,因一次精心策划的网络钓鱼攻击损失了约12,000美元。这起事件源于社交媒体平台X(原Twitter)上发布的一个欺诈链接。通过对区块链浏览器中的交易进行分析,攻击的全貌得以还原,这是一起典型的利用“资金盗取器”(drainer)进行的社会工程学攻击案例。
事件经过
受害者在HyperSwap的流动性池中持有资产。对池中份额的权利由一个独特的NFT来证明。受害者被HyperSwap官方X账号上的一篇帖子所吸引,该帖子承诺提供免费的“空投”(airdrop)。点击链接后,用户进入了一个外观与真实网站无异的页面,但实际上这是一个钓鱼克隆网站。
关键细节在于,这篇帖子并非来自交易所的官方账号,而是其伪造的复制品。这个仿冒账号的名称与真实账号仅差几个字母,在快速浏览时很容易被忽略。攻击者创建了一个极具迷惑性的页面副本,用户未能察觉其中的猫腻,将假网站当成了真货。
盗窃机制:“资金盗取器”在行动
在假网站上,受害者连接了自己的钱包并确认了一笔操作,以为自己只是在验证领取免费代币的资格。实际上,这一操作赋予了欺诈者管理其投资(即证明其在池中份额的NFT)的权限。从表面上看,这种确认请求与合法服务上的常规操作毫无区别,因此直到资金被转走,受害者都未察觉被骗。
盗窃的活跃阶段仅用了不到两分钟——从2026年6月29日20:21 UTC到20:23 UTC。首先,一个被安全服务HashDit标记为Fake_Phishing3746335的欺诈地址,利用之前获得的权限,将受害者的NFT及其投资转移到了自己的钱包中。值得注意的是:这笔交易是由攻击者本人发起并支付费用的。受害者此时并未签署任何操作。这正是“资金盗取器”的核心所在:权限被提前骗取,而资金转移则在之后由攻击者独立完成,无需所有者参与。
随后,欺诈者从NFT中提取了投资资金:约3,935 USDC和116 WHYPE,总计约12,100美元。通过使用合法的兑换和转账服务LI.FI,他将所有被盗资产兑换成单一代币HYPE,并从HyperEVM网络向以太坊网络发送了约12,300美元。
如何销毁痕迹
在以太坊网络中,资金被转入一个不久前创建的地址。该地址仅被使用了一次:接收资金后,几乎立即通过一笔交易将其转出,之后便几乎保持空置状态。这种一次性的“中转”钱包是洗钱链条中的典型环节。值得注意的是,攻击者使用的是普通的合法跨链转账服务,而非某种“黑客”工具。这增加了追踪难度,并给受害者造成一种错觉,仿佛责任在于服务本身或交易所。
分析显示,该欺诈地址活跃了约一个月,并与大约25个不同的钱包有关联。这表明这是一套成熟、流水线化的作案手法,而非偶然事件。
项目方的反应与教训
发现资产丢失后,用户试图联系HyperSwap和Hyperliquid团队以删除可疑链接,但未得到回应。受害者怀疑HyperSwap的员工可能参与了盗窃,或故意隐瞒此事。与HyperSwap的唯一活跃联系渠道是Discord,但在本文撰写时,该渠道已失效。
专家观点: 这起事件鲜明地提醒我们,在DeFi世界中,用户的安全99%取决于自身的警惕性。任何智能合约审计都无法防范社交媒体上的钓鱼链接。关键规则包括:绝不从帖子中点击交易所链接;始终逐字核对账号名称;最重要的是,绝不在钱包中签署任何含义不完全清楚的操作。通过可信服务定期检查并撤销已授予的权限,应成为每个DeFi用户的必修课。