Airdrop falso da HyperSwap custa 12.300$ a utilizador em 84 segundos
O ataque começou com um falso airdrop no X e bastou uma única aprovação na wallet da HyperSwap; a posição foi esvaziada, convertida em HYPE e enviada para Ethereum.

Pontos principais
- Um utilizador da HyperSwap perdeu cerca de 12.300$ depois de clicar num falso airdrop no X e de aprovar um único pedido de wallet.
- Em 84 segundos, um scammer assumiu a posição, esvaziou os fundos, converteu-os em HYPE e transferiu o valor para Ethereum.
- O caso mostra a rapidez com que o phishing em DeFi pode acontecer e como uma única assinatura pode bastar para dar acesso.
Um utilizador da HyperSwap perdeu cerca de 12.300$ (10.800€) depois de interagir com um falso airdrop no X e de autorizar um único pedido na wallet. Em apenas 84 segundos, um scammer tomou controlo da posição, esvaziou os fundos, converteu-os em HYPE e encaminhou o valor para Ethereum. O episódio evidencia a velocidade com que um ataque de phishing num ambiente DeFi pode desenrolar-se, sobretudo quando uma única assinatura já chega para conceder acesso a uma posição.
Como o ataque funcionou
De acordo com a reconstrução feita a partir de dados públicos da blockchain, tudo começou com uma conta falsa no X que promovia um airdrop. O utilizador estava na HyperSwap, uma exchange de criptomoedas que opera na blockchain Hyperliquid, e tinha depositado fundos num pool de liquidez. Em troca, podia receber comissões de negociação, enquanto a sua posição na HyperSwap V3 ficava registada como NFT #178549.
Esse NFT não funcionava como um simples objeto de coleção, mas sim como um comprovativo digital da posição subjacente. Quem controlava o NFT controlava também os fundos associados. Depois de aprovar um único pedido de wallet, o atacante passou a ter esse controlo e conseguiu esvaziar a posição.
Porque é que isto é relevante
O caso insere-se numa vaga mais ampla de phishing e campanhas de scam em torno da DeFi e das redes sociais. Este padrão não é novo: num estudo recente sobre perdas por fraude em criptomoedas, foi precisamente sublinhado que a impersonação e outros scams estão cada vez mais difíceis de travar antes de as vítimas enviarem dinheiro. Investigações anteriores mostraram que uma grande parte dos projetos NFT promovidos no Twitter acabou por ser fraudulenta, enquanto os utilizadores de DeFi reportaram em conjunto, em 2023, 1,95 mil milhões$ (1,7 mil milhões€) em prejuízos causados por scams e hacks. Para os utilizadores europeus de criptomoedas, isto torna este tipo de ataques particularmente relevante, porque o ataque muitas vezes não começa na blockchain em si, mas numa publicação ou giveaway aparentemente inofensivos.
Para quem usa wallets e exchanges descentralizadas, o episódio reforça sobretudo a necessidade de analisar com atenção o que está exatamente a ser aprovado. Neste caso, não foi preciso um grande hack técnico, mas sim uma combinação rápida de engenharia social e de uma assinatura feita sem atenção.