Fałszywy airdrop HyperSwap kosztował użytkownika 12 300$ w 84 sekundy
Atak rozpoczął się od fałszywego airdropu na X i jednego zatwierdzenia walleta na HyperSwap. W efekcie pozycja została opróżniona, zamieniona na HYPE i przesłana do Ethereum.

Najważniejsze informacje
- Użytkownik HyperSwap stracił około 12 300$ po kliknięciu fałszywego airdropu na X i zatwierdzeniu jednego żądania walleta.
- W zaledwie 84 sekundy scammer przejął pozycję, wycofał środki, zamienił je na HYPE i przesłał pieniądze do Ethereum.
- Incydent pokazuje, jak szybko phishing w DeFi może się rozprzestrzeniać i że jeden podpis może wystarczyć do nadania dostępu.
Użytkownik HyperSwap stracił około 12 300$ (10 800€) po tym, jak kliknął fałszywy airdrop na X i zatwierdził jedno żądanie walleta. W ciągu 84 sekund scammer przejął kontrolę nad pozycją, wypłacił środki, zamienił je na HYPE i przesłał pieniądze do Ethereum. Ten przypadek dobrze pokazuje, jak błyskawicznie może rozwinąć się atak phishingowy w środowisku DeFi, zwłaszcza gdy jeden podpis wystarcza, by uzyskać dostęp do pozycji.
Jak działał atak
Z publicznych danych z blockchaina wynika, że atak zaczął się od fałszywego konta X, które promowało airdrop. Ofiara korzystała z HyperSwap, giełdy kryptowalut działającej na blockchainie Hyperliquid, i ulokowała środki w puli płynności. W zamian mogła zarabiać na opłatach transakcyjnych, a jej pozycja na HyperSwap V3 została zapisana jako NFT #178549.
To NFT nie miało charakteru kolekcjonerskiego. Było cyfrowym potwierdzeniem reprezentującym bazową pozycję, więc kto kontrolował NFT, ten kontrolował także powiązane środki. Po zatwierdzeniu jednego żądania walleta napastnik przejął tę kontrolę i mógł opróżnić pozycję.
Dlaczego to ma znaczenie
Incydent wpisuje się w szerszą falę phishingu i kampanii scamowych wokół DeFi oraz mediów społecznościowych. Taki schemat nie jest nowy: w niedawnym badaniu dotyczącym strat z tytułu oszustw kryptowalutowych zwrócono uwagę, że podszywanie się pod inne osoby i podobne działania scamowe stają się coraz trudniejsze do zatrzymania, zanim ofiary wyślą pieniądze. Wcześniejsze badania pokazały też, że duża część promowanych projektów NFT na Twitterze okazała się oszukańcza, a użytkownicy DeFi w 2023 roku zgłosili łącznie 1,95 miliarda$ (1,7 miliarda€) strat wynikających z oszustw i włamań. Dla europejskich użytkowników kryptowalut ma to szczególne znaczenie, ponieważ takie ataki często nie zaczynają się na blockchainie, lecz od pozornie niewinnego posta lub giveaway.
Dla użytkowników walletów i zdecentralizowanych giełd najważniejsze jest więc dokładne sprawdzanie, co właściwie zatwierdzają. W tym przypadku nie był potrzebny zaawansowany techniczny hack, lecz szybkie połączenie social engineering i nieuwagi przy podpisie.