Un utilisateur d’HyperSwap perd 12 300 dollars lors d'une attaque de phishing par faux airdrop, d’une durée de 84 secondes

USDC0,02%
HYPE-2,24%
ETH0,05%

Un utilisateur de HyperSwap a perdu environ 12 300 dollars le 29 juin après avoir cliqué sur un faux lien d'airdrop sur X et approuvé une demande d'accès à un portefeuille qui a donné au fraudeur le contrôle de ses fonds. L'attaque, reconstituée par BeInCrypto à partir d'enregistrements publics de la blockchain, a eu lieu à 20:21:51 UTC et a duré 84 secondes, de la cession du NFT à l'achèvement du pont inter-chaînes. Le fraudeur a transféré la position de liquidité HyperSwap de la victime, représentée par le NFT #178549, a retiré environ 3 935 USDC et 116,6 WHYPE, a converti les fonds en 175,9 HYPE, puis a déplacé les actifs vers Ethereum. L'opération de phishing a exploité un faux compte X usurpant le compte officiel HyperSwap afin de tromper l'utilisateur en lui faisant accorder des autorisations de transfert d'actifs. L'analyse de BeInCrypto a identifié l'adresse du portefeuille du fraudeur, 0x880C95246D7525b84902E6c040818a7C72d3Aa77, signalée par HashDit comme Fake_Phishing3746335, qui était active depuis 33 jours et liée à environ 25 autres adresses, suggérant plusieurs victimes potentielles.

Le fraudeur a créé un faux compte X pour promouvoir un airdrop

La victime utilisait HyperSwap, un échange décentralisé fonctionnant sur la blockchain Hyperliquid, qui permet aux utilisateurs d'échanger directement depuis leurs portefeuilles. La victime avait alimenté un pool de liquidité HyperSwap, la position étant représentée par le NFT #178549, qui servait de reçu numérique contrôlant les fonds associés.

La victime a déclaré à BeInCrypto qu'elle avait vu une publication sur X faisant la promotion d'un airdrop. Le message semblait provenir de HyperSwap, mais il était en réalité issu d'un compte imposteur avec un identifiant très proche du vrai compte HyperSwap, HyperSwapX, qui est lié depuis le site officiel du projet. La victime a suivi le lien et connecté son portefeuille, pensant vérifier son éligibilité à l'airdrop. Au lieu de cela, elle a approuvé une transaction donnant au fraudeur l'autorisation de déplacer sa position HyperSwap.

Wallet Approval Transferred NFT #178549 Contrôle

À 20:21:51 UTC le 29 juin, le fraudeur a utilisé l'approbation antérieure pour transférer le NFT #178549 hors du portefeuille de la victime sans exiger une signature supplémentaire à cet instant. L'adresse du fraudeur, 0x880C95246D7525b84902E6c040818a7C72d3Aa77, a été signalée dans des enregistrements d'explorateur HyperEVM comme Fake_Phishing3746335 avec un tag « Phish / Hack » rapporté par HashDit.

Le NFT a été transféré vers un autre portefeuille contrôlé par le fraudeur. Vingt-cinq secondes plus tard, le fraudeur a retiré les fonds derrière le NFT, qui contenait environ 3 935 USDC et 116,6 WHYPE, d'une valeur d'environ 12 300 dollars à ce moment-là.

Fonds volés convertis et pontés en 84 secondes

Après le retrait, le portefeuille du fraudeur a accordé une autorisation à LI.FI, un service de pont inter-chaînes et d'échange. BeInCrypto n'a trouvé aucune preuve que LI.FI ait participé au vol. Le fraudeur a converti le USDC et le WHYPE volés en environ 175,9 HYPE, puis a ponté le HYPE de HyperEVM vers Ethereum quelques secondes plus tard.

La destination était le portefeuille Ethereum 0xFa47eef42fB2C63DCEA0cAC2295a58036052932D. Sur Ethereum, ce portefeuille a reçu les fonds et a transféré 7,035 ETH supplémentaires dans une seule transaction. Le portefeuille avait été créé peu de temps auparavant, n'a été utilisé qu'une seule fois et est resté presque vide. Du transfert du NFT à la transaction du pont, le vol actif a duré environ 84 secondes.

Portefeuille du fraudeur lié à 25 adresses sur 33 jours

Les enregistrements d'explorateur consultés par BeInCrypto ont montré que l'adresse du fraudeur était active depuis environ 33 jours et liée à environ 25 autres adresses. Le lien de ressource frauduleux était présent dans des messages depuis le 26 juin, d'après les enregistrements de la blockchain.

La victime a signalé l'arnaque via GitHub et Discord sans réponse

La victime a tenté de signaler le lien suspect et de le faire retirer. Au cours d'une conversation avec BeInCrypto, la victime a indiqué qu'elle avait essayé différentes façons d'alerter l'équipe Hyperliquid à propos de l'arnaque via GitHub, mais sans obtenir de réponse. D'après la victime, le seul canal de communication actif avec HyperSwap était Discord, mais le lien vers celui-ci était invalide au moment de la rédaction. La tentative de la victime de contacter l'équipe de l'écosystème Hyperliquid a échoué, l'équipe lui demandant de contacter directement HyperSwap.

La victime a suggéré que des employés de HyperSwap pourraient être impliqués dans le vol ou le dissimuleraient délibérément. BeInCrypto n'a pas pu trouver d'informations exactes permettant d'étayer ces affirmations.

FAQ

Que s'est-il passé lors de l'attaque de phishing HyperSwap du 29 juin ?
Un utilisateur de HyperSwap a perdu environ 12 300 dollars après avoir cliqué sur un faux lien d'airdrop sur X et approuvé une demande de portefeuille. Le fraudeur a transféré le NFT #178549 représentant la position de liquidité de la victime à 20:21:51 UTC le 29 juin, a retiré environ 3 935 USDC et 116,6 WHYPE, a converti les fonds en 175,9 HYPE, puis a ponté les actifs vers Ethereum en 84 secondes.

Comment le fraudeur a-t-il pris le contrôle des fonds de la victime ?
Le fraudeur a utilisé un faux compte X usurpant le compte officiel HyperSwap pour promouvoir un airdrop frauduleux. Lorsque la victime a connecté son portefeuille et approuvé ce qui semblait être une vérification d'éligibilité à l'airdrop, elle a accordé au fraudeur l'autorisation de transférer le NFT #178549, qui contrôlait sa position de liquidité HyperSwap d'une valeur d'environ 12 300 dollars.

Quelle adresse de portefeuille a été utilisée lors de l'attaque de phishing HyperSwap ?
Le fraudeur a utilisé l'adresse de portefeuille 0x880C95246D7525b84902E6c040818a7C72d3Aa77, que les enregistrements de l'explorateur HyperEVM ont signalée comme Fake_Phishing3746335 avec un tag « Phish / Hack » rapporté par HashDit. Les enregistrements d'exploration consultés par BeInCrypto ont montré que cette adresse était active depuis environ 33 jours et liée à environ 25 autres adresses.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire