فقد مستخدم في HyperSwap حوالي 12,300 دولار في 29 يونيو بعد النقر على رابط airdrop مزيف على X والموافقة على طلب من محفظة منح المهاجم السيطرة على أمواله. وقعت الهجمة، كما أعاد BeInCrypto بناؤها باستخدام سجلات عامة على السلسلة، عند 20:21:51 بالتوقيت العالمي المنسق واستمرت 84 ثانية من تحويل NFT إلى إتمام الجسر عبر السلاسل. نقل المهاجم مركز سيولة الضحية في HyperSwap المُمثَّل بـ NFT #178549، وسحب نحو 3,935 USDC و116.6 WHYPE، ثم حوّل الأموال إلى 175.9 HYPE، ونقل الأصول إلى Ethereum. استغلّت عملية التصيّد حساب X مزيفًا ينتحل صفة الحساب الرسمي لـ HyperSwap لخداع المستخدم ومنحه صلاحيات نقل الأصول. حدّد تحليل BeInCrypto عنوان محفظة المهاجم 0x880C95246D7525b84902E6c040818a7C72d3Aa77، والذي وضعته HashDit تحت وسم Fake_Phishing3746335، وكان نشطًا لمدة 33 يومًا ومربوطًا بنحو 25 عنوانًا آخر يشير إلى وجود ضحايا محتملين متعددين.
استخدم الضحية HyperSwap، وهو بورصة لامركزية تعمل على سلسلة Hyperliquid وتتيح للمستخدمين التداول مباشرة من محافظهم. كان الضحية قد زوّد صندوق سيولة في HyperSwap، حيث تعمل الحصة المُمثَّلة بواسطة NFT #178549 كتذكرة رقمية تتحكم في الأموال المرتبطة بها.
قال الضحية لـ BeInCrypto إنه رأى منشورًا على X يروّج لـ airdrop. بدا المنشور وكأنه صادر من HyperSwap لكنه صدر في الأصل من حساب انتحال يحمل اسمًا قريبًا جدًا من اسم حساب HyperSwap الحقيقي، HyperSwapX، وهو مرتبط من الموقع الرسمي للمشروع. اتبع الضحية الرابط وربط محفظته، معتقدًا أنه يتحقق من أهلية الـ airdrop. بدلًا من ذلك، وافق على معاملة منحت المهاجم صلاحية نقل حصة HyperSwap الخاصة به.
عند 20:21:51 بالتوقيت العالمي المنسق في 29 يونيو، استخدم المهاجم الموافقة السابقة لتحويل NFT #178549 خارج محفظة الضحية دون الحاجة إلى توقيع إضافي في تلك اللحظة. تم وضع علامة على عنوان المهاجم، 0x880C95246D7525b84902E6c040818a7C72d3Aa77، في سجلات HyperEVM explorer باعتباره Fake_Phishing3746335 مع وسم "Phish / Hack" الذي ذكرته HashDit.
انتقلت الـ NFT إلى محفظة أخرى يسيطر عليها المهاجم. بعد 25 ثانية، سحب المهاجم الأموال الكامنة خلف الـ NFT، والتي كانت تحتوي على نحو 3,935 USDC و116.6 WHYPE بقيمة تقارب 12,300 دولار في ذلك الوقت.
بعد سحب الأموال، منحت محفظة المهاجم الإذن لـ LI.FI، وهي خدمة جسر وتبادل عبر السلاسل. لم يجد BeInCrypto أي دليل على أن LI.FI شاركت في عملية السرقة. حوّل المهاجم USDC وWHYPE المسروقة إلى حوالي 175.9 HYPE، ثم جسر HYPE من HyperEVM إلى Ethereum بعد ثوانٍ مباشرة.
كان وجه التحويل هو محفظة Ethereum ذات العنوان 0xFa47eef42fB2C63DCEA0cAC2295a58036052932D. على Ethereum، استلمت تلك المحفظة الأموال ثم نقلت 7.035 ETH لاحقًا في معاملة واحدة. أنشئت المحفظة قبل وقت قصير، واُستخدمت مرة واحدة، وتركت شبه فارغة. من تحويل الـ NFT إلى معاملة الجسر، استغرقت عملية السرقة الفعالة حوالي 84 ثانية.
أظهرت سجلات المستكشف التي راجعها BeInCrypto أن عنوان المهاجم كان نشطًا منذ نحو 33 يومًا ومربوطًا بنحو 25 عنوانًا آخر. كانت الوصلة الاحتيالية للموارد موجودة في الرسائل منذ 26 يونيو، وفقًا لسجلات البلوك تشين.
حاول الضحية الإبلاغ عن الرابط المشبوه والحصول على إزالته. أثناء محادثة مع BeInCrypto، ذكر الضحية أنه حاول طرقًا مختلفة للتحذير من عملية الاحتيال لفريق Hyperliquid عبر GitHub لكنه لم يتلقَّ ردًا. ووفقًا للضحية، كانت قناة التواصل الوحيدة النشطة مع HyperSwap هي Discord، لكن كان رابطها غير صالح وقت كتابة هذا النص. فشلت محاولة الضحية للتواصل مع فريق منظومة Hyperliquid، إذ طالبت المجموعة المستخدم بالتواصل مع HyperSwap مباشرة.
اقترح الضحية أن موظفي HyperSwap قد يكونون متورطين في عملية السرقة أو أنهم يخفونها عمدًا. لم تتمكن BeInCrypto من العثور على أي معلومات دقيقة لدعم تلك الادعاءات.
ماذا حدث في هجوم التصيّد الاحتيالي لـ HyperSwap في 29 يونيو؟
خسر مستخدم في HyperSwap حوالي 12,300 دولار بعد النقر على رابط airdrop مزيف على X والموافقة على طلب محفظة. نقل المهاجم NFT #178549 المُمثّل لمركز سيولة الضحية عند 20:21:51 بالتوقيت العالمي المنسق في 29 يونيو، ثم سحب نحو 3,935 USDC و116.6 WHYPE، وحوّل الأموال إلى 175.9 HYPE، وجسّر الأصول إلى Ethereum خلال 84 ثانية.
كيف تمكن المهاجم من السيطرة على أموال الضحية؟
استخدم المهاجم حسابًا مزيفًا على X ينتحل صفة حساب HyperSwap الرسمي للترويج لـ airdrop احتيالي. عندما قام الضحية بتوصيل محفظته والموافقة على ما بدا أنه فحص أهلية للـ airdrop، منح المهاجم صلاحية نقل NFT #178549، والتي كانت تتحكم في مركز سيولة HyperSwap الخاص به بقيمة تقارب 12,300 دولار.
ما عنوان المحفظة الذي استُخدم في هجوم التصيّد الاحتيالي لـ HyperSwap؟
استخدم المهاجم عنوان محفظة 0x880C95246D7525b84902E6c040818a7C72d3Aa77، والذي وضعته سجلات HyperEVM explorer وسم Fake_Phishing3746335 مع وسم "Phish / Hack". وأظهرت سجلات المستكشف التي راجعها BeInCrypto أن هذا العنوان كان نشطًا منذ نحو 33 يومًا ومربوطًا بنحو 25 عنوانًا آخر.
أخبار ذات صلة
سجلات Gate: $207M صافي التدفقات الخارجة بعد ادعاء سرقة المستخدم
اختراق حسابات SpaceXAI وStarlink لدفع عملية احتيال SCATMAN $125K
يتكبد Bonzo Lend خسارة $9M في استغلال أوراكل بعد أن أدت الأسعار الوهمية لـ SAUCE إلى استنزاف البروتوكول
يُشتبه في اختراق حسابي SpaceXAI وStarlink على منصة X، وبعد إعادة نشر عملة ميم، لاذ شخص بالفرار بعد الاستيلاء على الأموال