Finst

Un falso airdrop en HyperSwap le cuesta $12.300 a un usuario en 84 segundos

El ataque se ejecutó mediante un falso airdrop en X y una única aprobación de wallet en HyperSwap; la posición fue vaciada, convertida en HYPE y enviada a Ethereum.

Un falso airdrop en HyperSwap le cuesta $12.300 a un usuario en 84 segundos

Puntos clave

  • Un usuario de HyperSwap perdió aproximadamente $12.300 después de hacer clic en un falso airdrop en X y aprobar una solicitud de wallet.
  • En 84 segundos, un estafador tomó el control de la posición, retiró los fondos, los convirtió en HYPE y envió el dinero a Ethereum.
  • El incidente muestra lo rápido que puede avanzar el phishing en DeFi y cómo una sola firma puede bastar para conceder acceso.

Un usuario de HyperSwap perdió cerca de $12.300 (€10.800) tras interactuar con un falso airdrop en X y autorizar una solicitud de wallet. En apenas 84 segundos, el atacante tomó el control de la posición, retiró los fondos, los convirtió en HYPE y transfirió el dinero a Ethereum. El caso pone de relieve la velocidad con la que puede propagarse un ataque de phishing en un entorno DeFi, sobre todo cuando una sola firma basta para dar acceso a una posición.

Cómo funcionó el ataque

De acuerdo con la reconstrucción elaborada a partir de datos públicos de la blockchain, el ataque se inició con una cuenta falsa de X que difundía un airdrop. El usuario operaba en HyperSwap, un exchange de criptomonedas que funciona sobre la blockchain de Hyperliquid, y había depositado fondos en un pool de liquidez. A cambio, podía obtener comisiones de negociación, mientras su posición en HyperSwap V3 quedaba registrada como NFT #178549.

Ese NFT no era una pieza de colección, sino un comprobante digital que representaba la posición subyacente. Quien controlaba el NFT también controlaba los fondos asociados. Tras aprobar una única solicitud de wallet, el atacante obtuvo ese acceso y pudo vaciar la posición.

Por qué esto es relevante

El incidente se suma a una tendencia más amplia de phishing y campañas de estafa en torno a DeFi y las redes sociales. Ese patrón no es nuevo: en una investigación reciente sobre pérdidas por fraude cripto se destacó precisamente que la suplantación de identidad y otras estafas son cada vez más difíciles de frenar antes de que las víctimas envíen dinero. Estudios previos también mostraron que una gran parte de los proyectos NFT promocionados en Twitter resultó ser fraudulenta, mientras que los usuarios de DeFi reportaron en conjunto $1,95 mil millones (€1,7 mil millones) en daños por estafas y hackeos en 2023. Esto vuelve especialmente relevante este tipo de ataques para los usuarios europeos de criptomonedas, porque con frecuencia el engaño no empieza en la blockchain, sino en una publicación o un sorteo que parece inofensivo.

Para quienes usan wallets y exchanges descentralizados, la lección principal es revisar con precisión qué se está aprobando. En este caso no hizo falta un gran hackeo técnico, sino una combinación rápida de ingeniería social y una firma concedida sin suficiente atención.


Aviso legal: Este contenido tiene fines exclusivamente informativos y no constituye asesoramiento financiero, de inversión, legal o fiscal. La información proporcionada puede estar incompleta, ser inexacta o estar desactualizada y no debe considerarse como base para la toma de decisiones. Nada en este sitio web debe considerarse una recomendación para comprar, vender o mantener criptomonedas. Invertir en criptoactivos implica un riesgo de pérdida.