Airdrop falso de HyperSwap drena $12,300 en 84 segundos: ¿Cómo sucedió?

Compartir:
En resumen
- Un usuario de HyperSwap perdió alrededor de 12,300 dólares tras hacer clic en un enlace falso de airdrop de Hyperliquid en X.
- El estafador utilizó una aprobación de wallet para tomar la posición de liquidez del usuario, drenarla y puentear los fondos a Ethereum.
- El robo tomó 84 segundos y pone en evidencia la débil protección contra el phishing en todo el ecosistema de Hyperliquid.
Un usuario de HyperSwap perdió unos 12,300 dólares tras hacer clic en un enlace falso de airdrop en X, aprobar una solicitud en su wallet y, sin saberlo, dar a un estafador el control de sus fondos.
BeInCrypto reconstruyó el ataque junto a la víctima usando registros públicos en la blockchain. Los registros muestran una operación de phishing rápida dentro del ecosistema de Hyperliquid.
El estafador tomó la posición de la víctima en HyperSwap, retiró los fondos detrás de ella, los convirtió en HYPE y transfirió el dinero a Ethereum en menos de dos minutos.
Nota: HyperSwap es un exchange que funciona en la blockchain de Hyperliquid. HyperSwap tiene su propio equipo, y Hyperliquid no lo administra — así como los creadores de Ethereum no gestionan aplicaciones como Uniswap que funcionan en su plataforma.
La trampa comenzó con una cuenta falsa en X
La víctima utilizaba HyperSwap. Como otros exchanges descentralizados, permite a los usuarios operar directamente desde sus wallets sin que una empresa mantenga sus fondos.
La víctima había aportado dinero a un pool de liquidez de HyperSwap. En términos simples, depositó criptomonedas para que otros usuarios pudieran operar contra ellas. A cambio, podía ganar comisiones.
En HyperSwap V3, esa posición estaba representada por el NFT #178549. No era una imagen ni un coleccionable. Era más parecido a un recibo digital. Quien controlara ese NFT, controlaba los fondos vinculados a la posición.
La víctima contó a BeInCrypto que vio una publicación en X promocionando un airdrop. Un airdrop es una entrega gratuita de tokens, que los proyectos de criptomonedas suelen usar para premiar a los usuarios.
La publicación parecía provenir de HyperSwap. Pero no era así, provenía de una cuenta impostora con un nombre de usuario muy parecido al de la cuenta real de HyperSwap, HyperSwapX, que está enlazada desde el sitio web oficial del proyecto.
La víctima siguió el enlace y conectó su wallet. Creía que estaba verificando si podía recibir el airdrop. En cambio, aprobó una transacción que permitió al estafador mover su posición en HyperSwap.
Esa aprobación fue el momento clave.
Una aprobación le dio el control al estafador
Las wallets de criptomonedas suelen pedir a los usuarios que aprueben transacciones. Algunas aprobaciones no tienen riesgo. Otras dan permiso a otra dirección para mover activos valiosos.
Para la mayoría de los usuarios, la advertencia puede parecer algo rutinario. Un sitio falso puede hacer que una aprobación peligrosa parezca un paso normal para reclamar tokens.
Parece que eso fue lo que sucedió aquí.
A las 20:21:51 UTC del 29 de junio, el estafador usó la aprobación previa para transferir el NFT #178549 fuera de la wallet de la víctima. La víctima no firmó nada en ese momento. El estafador ya tenía el permiso necesario.
La dirección del estafador era 0x880C95246D7525b84902E6c040818a7C72d3Aa77. Los registros de HyperEVM explorer la marcaron como Fake_Phishing3746335, con una etiqueta de “Phish / Hack” informada por HashDit.
El NFT fue transferido a otra wallet controlada por el estafador. Una vez que eso sucedió, el atacante tenía el control de la posición de liquidez.
Veinticinco segundos después, el estafador retiró los fondos detrás del NFT. La posición contenía unos 3,935 USDC y 116.6 WHYPE. En total, su valor era de aproximadamente 12,300 dólares en ese momento.
El dinero fue movido rápidamente
Tras retirar los fondos, el estafador se preparó para moverlos fuera de HyperEVM. Primero, la wallet dio permiso a LI.FI, un servicio legítimo de puente cross-chain y swap. Un puente permite mover criptomonedas de una blockchain a otra.
No hay evidencia de que LI.FI participara en el robo. El estafador lo usó después de robar los fondos. Luego, el estafador convirtió los USDC y WHYPE robados en unos 175.9 HYPE. Segundos después, los tokens HYPE fueron transferidos mediante puente desde HyperEVM hacia Ethereum.
La dirección de destino fue 0xFa47eef42fB2C63DCEA0cAC2295a58036052932D. En Ethereum, esa wallet recibió los fondos y casi en seguida transfirió 7,035 ETH en una sola transacción.
La wallet había sido creada poco antes. Solo fue usada una vez y quedó casi vacía. Ese patrón es común en cadenas de lavado, donde los fondos robados pasan por wallets temporales para dificultar el rastreo.
Desde la transferencia del NFT hasta la operación de puente, el robo activo tomó unos 84 segundos.
Un patrón de phishing más amplio
La wallet del estafador parece ser parte de una operación más grande.
Registros del explorador revisados por BeInCrypto muestran que la dirección estuvo activa durante unos 33 días. También estaba conectada con unas 25 direcciones más. Esto sugiere que el atacante pudo haber apuntado a más de un usuario.
Para las víctimas, el problema es práctico. Los registros en blockchain pueden mostrar lo que pasó. Sin embargo, rara vez evitan que suceda en tiempo real.
Una vez que un usuario firma una aprobación maliciosa, el estafador puede actuar rápido. Cuando los fondos se mueven entre blockchains, la recuperación se vuelve aún más difícil.
La víctima después intentó reportar el enlace sospechoso y que lo quitaran. Dijo que se sintió ignorada y empezó a sospechar que el equipo de HyperSwap no había actuado.
La evidencia on-chain revisada por BeInCrypto señala un ataque de phishing desde una cuenta impostora. La cuenta falsa de X era diferente a la cuenta oficial de HyperSwap. La cuenta oficial de HyperSwap y el contrato oficial no mostraron haber realizado el robo.
Sin embargo, la experiencia de la víctima resalta una debilidad seria en el ecosistema. Los usuarios pueden ser atacados mediante cuentas falsas en redes sociales, pueden perder fondos por aprobaciones de wallet confusas, y después tienen pocas opciones claras cuando el dinero ya ha desaparecido.
Durante una conversación con periodistas de BeInCrypto, la víctima dijo que intentó varias formas de advertir al equipo de Hyperliquid sobre la estafa, pero no recibió respuesta.
Según la víctima, el único canal de comunicación activo con HyperSwap era Discord. Al momento de escribir esto, el enlace a Discord no es válido. Entonces intentó comunicar el problema al equipo del ecosistema donde trabaja el proyecto, pero ese intento también falló.
En general, el método del estafador fue simple. Una cuenta falsa promocionó un airdrop falso. Un sitio web falso consiguió la aprobación de la wallet. Una wallet de phishing señalada tomó la posición del usuario en HyperSwap, la vació y movió los fondos a Ethereum.
La pérdida fue de unos 12,300 dólares. El robo tomó menos de dos minutos.
La víctima sugirió que empleados de HyperSwap podrían estar involucrados en el robo o que lo están ocultando deliberadamente. Sin embargo, BeInCrypto no pudo encontrar información precisa para confirmar esas afirmaciones.
Leer el artículo en BeInCryptoLeer más






