Airdrop falso de HyperSwap drenó USD $12.300 en menos de 2 minutos
0
0

Un usuario de HyperSwap perdió cerca de USD $12.300 después de conectarse a un enlace fraudulento y aprobar una transacción que entregó control sobre su posición de liquidez. El caso reconstruye, paso a paso, cómo una operación de phishing dentro del ecosistema Hyperliquid drenó fondos y los movió a Ethereum en apenas 84 segundos.
***
- La víctima hizo clic en un falso airdrop y aprobó una transacción que permitió transferir el NFT de su posición de liquidez.
- El atacante retiró unos USD $12.300 en USDC y WHYPE, los convirtió en HYPE y los movió a Ethereum en menos de dos minutos.
- Los registros on-chain sugieren una operación de phishing más amplia con varias direcciones vinculadas y actividad previa de semanas.
Un usuario de HyperSwap perdió aproximadamente USD $12.300 tras interactuar con un falso airdrop difundido por una cuenta impostora en redes sociales. El incidente derivó en una aprobación de wallet que permitió a un atacante tomar control de una posición de liquidez y vaciarla en apenas 84 segundos.
La reconstrucción del caso muestra un tipo de fraude frecuente en finanzas descentralizadas, donde el robo no requiere vulnerar un protocolo si la víctima firma el permiso equivocado. En este episodio, el atacante drenó los fondos, los convirtió a HYPE y los movió a Ethereum antes de que la víctima pudiera reaccionar.
Según reportó BeInCrypto, el engaño ocurrió dentro del ecosistema relacionado con Hyperliquid, aunque HyperSwap opera como un intercambio separado sobre esa blockchain. Esa distinción importa, porque los datos revisados no muestran que la cuenta oficial de HyperSwap ni el contrato oficial ejecutaran el robo.
El caso también ilustra una realidad incómoda para usuarios de DeFi. La transparencia de blockchain permite reconstruir cada paso después del ataque, pero rara vez evita la pérdida cuando un permiso malicioso ya fue firmado.
Para quienes son nuevos en este segmento, una posición de liquidez en un exchange descentralizado representa fondos depositados por un usuario para facilitar operaciones de otros traders. A cambio, ese usuario puede recibir comisiones, pero también asume riesgos técnicos y operativos que van más allá de la volatilidad del mercado.
Cómo comenzó el engaño con un falso airdrop
La víctima usaba HyperSwap y había aportado fondos a un pool de liquidez en HyperSwap V3. Esa posición estaba representada por el NFT #178549, que funcionaba como un comprobante digital de propiedad sobre los activos depositados.
En este contexto, controlar el NFT no implicaba poseer una simple imagen coleccionable. Significaba tener el control efectivo sobre la posición de liquidez y, por extensión, sobre los fondos vinculados a ella.
El usuario relató que vio una publicación que promocionaba un airdrop aparentemente asociado a HyperSwap. Un airdrop suele ser una distribución de tokens usada por proyectos cripto para premiar usuarios o incentivar actividad dentro de un ecosistema.
Sin embargo, la publicación no provenía de la cuenta legítima del proyecto. Procedía de una cuenta impostora con un identificador muy similar al de la cuenta oficial de HyperSwap, HyperSwapX, que está enlazada desde el sitio oficial.
Después de seguir el enlace, la víctima conectó su wallet creyendo que verificaba si cumplía con los requisitos para recibir tokens. En realidad, autorizó una transacción que daba permiso a un tercero para mover su posición dentro del protocolo.
Ese detalle fue decisivo en la mecánica del robo. En muchos fraudes de phishing, la pérdida no ocurre en el instante en que el usuario firma, sino segundos o minutos más tarde, cuando el atacante utiliza el permiso ya concedido.
La aprobación de wallet que abrió la puerta al robo
Las wallets cripto piden con frecuencia firmas y aprobaciones para interactuar con aplicaciones descentralizadas. Algunas son rutinarias, pero otras otorgan facultades amplias para transferir activos valiosos sin requerir una nueva confirmación inmediata.
Ese matiz suele pasar desapercibido para muchos usuarios, sobre todo cuando el sitio malicioso imita la apariencia de una campaña real. El resultado es que una aprobación peligrosa puede parecer un paso normal dentro de una promoción legítima.
De acuerdo con los registros on-chain, a las 20:21:51 UTC del 29 de junio el atacante utilizó el permiso previo para transferir el NFT #178549 fuera de la wallet de la víctima. En ese momento, la víctima ya no necesitó firmar nada adicional, porque la autorización estaba concedida desde antes.
La dirección utilizada por el atacante fue 0x880C95246D7525b84902E6c040818a7C72d3Aa77. En el explorador de HyperEVM aparecía marcada como Fake_Phishing3746335 y con la etiqueta “Phish / Hack” reportada por HashDit.
Una vez transferido el NFT a otra wallet bajo control del estafador, la posición quedó comprometida por completo. Quien tenía ese NFT podía retirar los activos subyacentes sin necesidad de acceder nuevamente a la wallet original del usuario.
Veinticinco segundos después de mover el NFT, el atacante retiró los fondos asociados a la posición. Esa liquidez contenía alrededor de USDC 3.935 y WHYPE 116,6, equivalentes en ese momento a unos USD $12.300.
El mecanismo confirma un punto clave de seguridad en DeFi. Un permiso malicioso sobre un NFT de posición puede ser tan peligroso como aprobar el movimiento directo de tokens fungibles, porque en ambos casos se transfiere control económico real.
Del vaciado de la posición al puente hacia Ethereum
Después de retirar los activos, el atacante se preparó para sacar el dinero de HyperEVM. El primer paso fue autorizar a LI.FI, un servicio legítimo de bridge e intercambio entre cadenas, para gestionar el movimiento posterior de los fondos.
No hay evidencia de que LI.FI participara en el robo. La plataforma habría sido usada como herramienta de infraestructura después de que el atacante ya había tomado control de los activos robados.
Luego, el estafador convirtió los USDC y WHYPE sustraídos en aproximadamente HYPE 175,9. Ese cambio simplificó el traslado posterior y consolidó el valor robado en un solo activo antes del puente a otra red.
Segundos más tarde, los HYPE salieron de HyperEVM hacia Ethereum. La dirección de destino fue 0xFa47eef42fB2C63DCEA0cAC2295a58036052932D, una wallet que recibió los fondos y casi de inmediato envió ETH 7,035 en una sola transacción.
El reporte indica que esa wallet de Ethereum había sido creada poco antes del movimiento. También señala que fue usada una sola vez y quedó casi vacía después, un patrón muy común en cadenas de lavado diseñadas para dificultar el rastreo.
Desde la transferencia del NFT hasta la operación de bridge, la fase activa del robo duró alrededor de 84 segundos. La rapidez del procedimiento sugiere automatización o, al menos, una preparación previa muy precisa por parte del atacante.
En términos prácticos, eso reduce casi a cero la capacidad de reacción de la víctima. Incluso si el usuario detecta el problema rápido, el dinero puede ya haber cambiado de activo, de red y de dirección antes de iniciar cualquier intento de bloqueo o denuncia.
Un posible patrón de phishing más amplio
Los registros revisados en el explorador sugieren que la billetera del atacante no era un instrumento improvisado para un único golpe. La dirección mostraba actividad de aproximadamente 33 días y estaba conectada con cerca de otras 25 direcciones.
Esa red de wallets apunta a la posibilidad de una operación más extensa. Aunque no prueba por sí sola la cantidad de víctimas, sí sugiere que el atacante pudo haber intentado repetir el mismo método contra varios usuarios.
También se reportó que el enlace fraudulento circulaba en mensajes desde el 26 de junio. Ese dato refuerza la idea de una campaña activa durante varios días antes de que el caso reconstruido llegara a una pérdida documentada.
En este tipo de fraudes, el vector más débil suele estar fuera del protocolo principal. El contrato puede funcionar según lo diseñado, pero la imitación de marcas en redes sociales y la ambigüedad de las aprobaciones terminan desplazando el riesgo al usuario final.
Por eso, el incidente no debe leerse solo como una historia aislada de mala suerte. También expone una falla estructural del ecosistema, donde cuentas falsas, interfaces engañosas y escasa coordinación de respuesta pueden agravar el impacto de los ataques.
Una lección importante es que la custodia propia exige revisar con atención cada permiso, incluso cuando la campaña parece provenir de un proyecto conocido. En DeFi, un clic sobre una aprobación mal entendida puede equivaler a entregar las llaves de una caja fuerte.
La respuesta posterior y las acusaciones sin confirmar
Tras el incidente, la víctima intentó reportar el enlace sospechoso y pedir que fuera retirado. Según su relato, se sintió ignorada y comenzó a sospechar que el equipo de HyperSwap no había actuado con la rapidez necesaria.
Durante conversaciones con periodistas, la víctima dijo que buscó varias formas de advertir al equipo de Hyperliquid sobre la estafa, pero no obtuvo respuesta. También afirmó que el único canal activo de comunicación con HyperSwap era Discord.
Al momento del reporte, ese enlace de Discord aparecía inválido. Por eso, el usuario trató de elevar el problema al equipo del ecosistema en el que opera el proyecto, aunque ese intento tampoco resultó exitoso.
La reconstrucción periodística remarca, sin embargo, que la evidencia on-chain apunta a un ataque de phishing ejecutado desde una cuenta impostora. A la vez, no encontró pruebas de que la cuenta oficial de HyperSwap ni su contrato oficial hubiesen realizado el robo.
La víctima sugirió que empleados de HyperSwap podrían estar implicados o encubriendo lo ocurrido. No obstante, el reporte aclara que no pudo hallar información precisa que respaldara esa acusación.
Ese matiz es clave para no confundir responsabilidad operativa con participación directa en el delito. Una respuesta deficiente o una moderación insuficiente pueden generar críticas válidas, pero no equivalen por sí mismas a prueba de complicidad interna.
Más allá de esa controversia, el episodio deja un mensaje claro para el sector. Cuando los fondos cruzan cadenas y pasan por billeteras temporales, la posibilidad de recuperación cae drásticamente y la prevención pasa a ser la única defensa realmente efectiva.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
0
0
Securely connect the portfolio you’re using to start.







