В редакцию BeInCrypto обратился пользователь, потерявший около $12 000 на децентрализованной бирже HyperSwap в сети HyperEVM. По его словам, средства украли из-за мошеннической ссылки в соцсети X. Журналисты восстановили ход событий по предоставленным данным и записям блокчейн-обозревателя. Реконструкция показала классическую схему фишинга. С чего началось Пострадавший держал активы на HyperSwap. На платформе пользователь добавляет свои The post Слепая зона безопасности: как хакеры грабят пользователей Hyperliquid appeared first on BeInCrypto.
В редакцию BeInCrypto обратился пользователь, потерявший около $12 000 на децентрализованной бирже HyperSwap в сети HyperEVM. По его словам, средства украли из-за мошеннической ссылки в соцсети X.
Журналисты восстановили ход событий по предоставленным данным и записям блокчейн-обозревателя. Реконструкция показала классическую схему фишинга.
Пострадавший держал активы на HyperSwap. На платформе пользователь добавляет свои монеты в общий пул и получает за это доход, а право на вложение подтверждается NFT с уникальным номером.
В соцсети X, в официальном аккаунте HyperSwap, пользователь увидел пост со ссылкой и перешел по ней на сайт, где предлагали аирдроп. За ссылкой скрывался дрейнер — инструмент для кражи средств с криптокошелька.
HyperSwap — это биржа, работающая на блокчейне Hyperliquid (точнее, на его слое HyperEVM). У HyperSwap своя команда, и Hyperliquid им не управляет — так же как создатели Ethereum не управляют работающими на нем приложениями вроде Uniswap.
Пост опубликовал не официальный аккаунт биржи, а поддельный. Его название почти не отличается от настоящего — разница в паре букв. Официальный сайт HyperSwap ссылается на один аккаунт, а ссылку на дрейнер разместил похожий по написанию двойник. Пользователь не заметил подмены и принял фальшивую страницу за настоящую.
Именно на этом строится расчет мошенников: аккаунт-двойник и сайт-клон выглядят убедительно, а невнимательность в один момент стоит человеку всех средств.
На поддельном сайте пользователь подключил кошелек и подтвердил операцию, полагая, что просто проверяет право на бесплатные монеты. На деле этим действием он выдал мошеннику разрешение распоряжаться своим вложением. Такое подтверждение внешне неотличимо от обычных операций на настоящих сервисах, поэтому подвох остается незамеченным до самого списания.
Дальше все произошло очень быстро. Данные обозревателя показывают, что активная фаза кражи уложилась в промежуток с 20:21 до 20:23 (UTC) 29 июня 2026 года.
Сначала мошеннический адрес, помеченный обозревателем hyperevmscan как Fake_Phishing3746335 (по сигналу сервиса безопасности HashDit), воспользовался ранее выданным доступом и перевел NFT с вложением пользователя на свой кошелек.
Ключевая деталь: эту операцию запустил сам мошенник и сам оплатил комиссию — в момент кражи жертва ничего не подписывала. В этом и суть дрейнера: доступ выманивают заранее, а списание совершают позже, без участия владельца.
Затем мошенник вытянул из NFT вложенные монеты — около 3935 USDC и 116 WHYPE, в сумме порядка $12 100. Через легальный сервис обмена и переводов LI.FI он свел все украденное в одну монету, HYPE, и отправил около $12 300 из сети HyperEVM в сеть Ethereum.
В сети Ethereum деньги пришли на адрес, созданный незадолго до этого. Он был использован один раз: получил средства, почти сразу вывел их дальше одной операцией и остался практически пустым. Такой разовый «перевалочный» кошелек — типовой элемент цепочки, по которой уводят похищенное.
Отдельно стоит отметить прием, который часто вводит жертв в заблуждение. Для вывода мошенник использовал не какой-то «хакерский» инструмент, а обычный, легальный сервис переводов между сетями. Это осложняет отслеживание и создает у пострадавшего ложное впечатление, будто виноват сам сервис или биржа.
Мошеннический адрес, по данным обозревателя, был активен около месяца и связан примерно с 25 разными кошельками. Вероятнее всего, речь идет об отлаженной, поставленной на поток схеме, а не о случайном инциденте.
Обнаружив пропажу, пользователь попытался достучаться до команды проекта, чтобы подозрительную ссылку убрали. Ссылка осталась на месте.
В ходе беседы с журналистами BeInCrypto, пострадавший заявил, что пытался разными способами предупредить команду проекта Hyperliquid о скаме, но реакции не последовало.
По словам пострадавшего, единственным активным каналом связи с HyperSwap был Discord. На момент написания статьи ссылка на него недействительна. Поэтому он попытался донести проблему до команды экосистемы, в которой работает проект, но и эта попытка не увенчалась успехом.
Пострадавший предположил, что сотрудники HyperSwap могут быть причастны к краже или намеренно ее скрывают.
The post Слепая зона безопасности: как хакеры грабят пользователей Hyperliquid appeared first on BeInCrypto.