Случай с кражей средств на HyperSwap снова показал, почему безопасность Hyperliquid остается болезненной темой для пользователей экосистемы: один переход по фишинговой ссылке в X закончился потерей примерно $12 000, а сам вывод активов занял меньше двух минут. В редакцию BeInCrypto обратился инвестор, который держал средства на децентрализованной бирже HyperSwap в сети HyperEVM. По его словам, […]
Случай с кражей средств на HyperSwap снова показал, почему безопасность Hyperliquid остается болезненной темой для пользователей экосистемы: один переход по фишинговой ссылке в X закончился потерей примерно $12 000, а сам вывод активов занял меньше двух минут.
В редакцию BeInCrypto обратился инвестор, который держал средства на децентрализованной бирже HyperSwap в сети HyperEVM. По его словам, он перешел по ссылке из соцсети X, подключил кошелек к сайту с обещанием аирдропа и в итоге выдал мошенникам доступ к своей позиции.
По данным Blockchain-обозревателя, схема выглядела как классический дрейнер: сначала у пользователя выманили разрешение, а позже злоумышленник сам запустил транзакции и забрал активы без новых подтверждений со стороны владельца кошелька.
Пострадавший размещал активы на HyperSwap. На этой площадке пользователь вносит монеты в общий пул ликвидности и получает доход, а его доля подтверждается NFT с уникальным номером. Для владельца такой NFT был не просто токеном, а Asset, который давал право на вложенные средства.
В X он увидел публикацию со ссылкой на страницу, где якобы можно было проверить право на бесплатные монеты. Сайт оказался подделкой, а за формой подключения кошелька скрывался дрейнер — инструмент, который помогает мошенникам забирать средства после получения нужных разрешений.
HyperSwap работает на блокчейне Hyperliquid, точнее на его слое HyperEVM. При этом у HyperSwap отдельная команда: Hyperliquid не управляет этой биржей напрямую, так же как Ethereum не контролирует приложения, которые запускаются поверх его сети, например Uniswap.
Ключевой трюк был в подмене. Ссылку разместил не официальный аккаунт HyperSwap, а фейковая страница с очень похожим названием. Разница сводилась к нескольким символам, поэтому ее легко пропустить при беглом просмотре ленты.

Мошенники часто рассчитывают именно на такой сценарий: аккаунт-двойник и сайт-клон выглядят достаточно убедительно, а одна невнимательная подпись в кошельке может стоить пользователю всех средств.
На поддельном сайте пострадавший подключил кошелек и подтвердил операцию, думая, что проверяет участие в аирдропе. На практике это действие дало злоумышленнику право распоряжаться его вложением. Внешне подобные запросы могут напоминать обычные операции на легитимных сервисах, поэтому подвох часто становится очевиден только после списания.
Важно не путать этот эпизод с рыночными механизмами: он не был связан с Market liquidity, Oracle, Regulation или Liquidation. Это пользовательский Risk и типичная Vulnerability (computer security), когда владелец кошелька сам, не понимая последствий, выдает опасное разрешение.
Активная фаза атаки прошла 29 июня 2026 года между 20:21 и 20:23 по UTC. Обозреватель hyperevmscan пометил адрес злоумышленника как Fake_Phishing3746335 по сигналу сервиса безопасности HashDit.
Сначала этот адрес использовал ранее полученный доступ и перевел NFT с позицией пользователя на свой кошелек. Важная деталь: транзакцию запустил сам мошенник и он же оплатил комиссию. В момент кражи жертва уже ничего не подписывала.

После этого злоумышленник вывел из NFT вложенные монеты: около 3935 USDC и 116 WHYPE. Общая сумма потерь составила примерно $12 100. Затем через легальный сервис обмена и переводов украденные средства были сведены в HYPE, после чего около $12 300 отправили из HyperEVM в сеть Ethereum.
В Ethereum деньги пришли на адрес, созданный незадолго до перевода. Он был использован фактически один раз: получил средства, почти сразу отправил их дальше одной транзакцией и остался почти пустым. Такой одноразовый транзитный кошелек часто встречается в цепочках вывода похищенных активов.
Дополнительную путаницу создает то, что мошенник не использовал какой-то очевидно криминальный инструмент. Для перемещения средств он задействовал обычный легальный сервис межсетевых переводов. Из-за этого пострадавшему может показаться, что проблема в сервисе или бирже, хотя сама кража началась с фишингового разрешения.
По данным обозревателя, мошеннический адрес был активен около месяца и связан примерно с 25 разными кошельками. Это больше похоже на налаженную схему, чем на единичный случай.
После пропажи средств пользователь попытался добиться удаления опасной ссылки. По его словам, ссылка на фишинговый ресурс продолжала оставаться в сообщениях.

Пострадавший утверждает, что пытался разными способами предупредить команду Hyperliquid о скаме, но реакции не получил. На одном из скриншотов видно, как он обращается в поддержку Hyperliquid через Discord с просьбой передать информацию о найденной угрозе, а в ответ ему предлагают самостоятельно связаться с HyperSwap.

По словам пользователя, единственным активным каналом связи с HyperSwap оставался Discord, но на момент подготовки материала ссылка на него уже не работала. Поэтому он пытался донести проблему через команду экосистемы, в которой работает проект, однако и это не помогло.

Пострадавший также предположил, что сотрудники HyperSwap могут быть причастны к краже или намеренно скрывать происходящее. Подтверждений этой версии в предоставленных данных нет, но сам факт отсутствия понятной реакции на жалобы усилил его подозрения.
Главный вывод прост: дрейнеру не всегда нужно взламывать протокол. Иногда достаточно убедить пользователя подписать один опасный запрос, а затем спокойно вывести активы уже без его участия.
{ "@context": "https://schema.org", "@type": "Article", "about": [ { "@type": "Organization", "name": "Hyperliquid" }, { "@type": "Organization", "name": "Ethereum" }, { "@type": "Thing", "name": "блокчейн" }, { "@type": "Thing", "name": "уязвимость" }, { "@type": "Thing", "name": "риск" }, { "@type": "Thing", "name": "актив" } ] }