Crypto news

05.07.2026
14:26

Ataque de phishing en Hyperliquid: robados $12,000 a través de una cuenta falsa en X

Un usuario del exchange descentralizado HyperSwap, que opera en la blockchain HyperEVM, perdió aproximadamente $12,000 como resultado de un sofisticado ataque de phishing. El incidente ocurrió debido a un enlace fraudulento publicado en la red social X (Twitter). Durante el análisis de las transacciones en el explorador de blockchain, se reconstruyó el panorama completo del ataque, que representa un ejemplo clásico de ingeniería social utilizando un "drenador" (drainer).

Cómo ocurrió

La víctima mantenía activos en un pool de liquidez de HyperSwap. El derecho a una participación en el pool se confirma mediante un NFT único. La atención de la víctima fue atraída por una publicación en la cuenta oficial de HyperSwap en X, que prometía un "airdrop" gratuito. Al hacer clic en el enlace, el usuario llegó a un sitio web visualmente indistinguible del real, pero que en realidad era un clon de phishing.

Un detalle clave fue que la publicación no se realizó desde la cuenta oficial del exchange, sino desde un duplicado falso. El nombre de la cuenta duplicada difería del real solo por un par de letras, lo que fácilmente pasa desapercibido en una revisión superficial. Los atacantes crearon una copia convincente de la página, y el usuario, sin notar la suplantación, tomó la falsificación como auténtica.

Mecanismo del robo: el "drenador" en acción

En el sitio falso, la víctima conectó su billetera y confirmó la operación, pensando que solo estaba verificando el derecho a recibir tokens gratuitos. En realidad, con esta acción otorgó al estafador permiso para gestionar su inversión: el NFT que confirmaba su participación en el pool. Externamente, esta solicitud de confirmación no se diferencia de las operaciones habituales en servicios legítimos, por lo que el engaño pasa desapercibido hasta el momento del retiro de fondos.

La fase activa del robo duró menos de dos minutos, de 20:21 a 20:23 UTC del 29 de junio de 2026. Primero, la dirección fraudulenta, marcada por el servicio de seguridad HashDit como Fake_Phishing3746335, aprovechando el acceso obtenido previamente, transfirió el NFT con la inversión de la víctima a su propia billetera. Es importante destacar: esta transacción fue iniciada y pagada por el propio atacante. La víctima no firmó nada en ese momento. En esto consiste la esencia del "drenador": el acceso se obtiene por adelantado, y el retiro se realiza después, sin la participación del propietario.

Luego, el estafador retiró los fondos invertidos del NFT: aproximadamente 3935 USDC y 116 WHYPE, que en total sumaron alrededor de $12,100. Utilizando el servicio legítimo de intercambio y transferencias LI.FI, convirtió todo lo robado en un solo token HYPE y envió aproximadamente $12,300 desde la red HyperEVM a la red Ethereum.

Cómo cubrieron sus huellas

En la red Ethereum, los fondos llegaron a una dirección creada poco antes. Se utilizó una sola vez: recibió los fondos, casi de inmediato los retiró en una sola operación y quedó prácticamente vacía. Esta billetera de "tránsito" de un solo uso es un elemento típico en la cadena de retiro de lo robado. Es notable que el atacante utilizó un servicio común y legítimo de transferencias entre redes, y no una herramienta "hacker". Esto dificulta el rastreo y crea en la víctima la falsa impresión de que el propio servicio o el exchange tienen la culpa.

El análisis muestra que la dirección fraudulenta estuvo activa durante aproximadamente un mes y está vinculada a unas 25 billeteras diferentes. Esto indica un esquema bien afinado y sistematizado, no un incidente aislado.

Reacción del proyecto y lecciones

Al descubrir la pérdida, el usuario intentó contactar al equipo de HyperSwap y Hyperliquid para que eliminaran el enlace sospechoso, pero no hubo respuesta. La víctima supone que los empleados de HyperSwap podrían estar involucrados en el robo o estar ocultándolo intencionalmente. El único canal de comunicación activo con HyperSwap era Discord, que al momento de redactar este artículo resultó ser inválido.

Opinión del experto: Este incidente es un recordatorio contundente de que en el mundo DeFi, la seguridad del usuario depende en un 99% de su propia vigilancia. Ninguna auditoría de contratos inteligentes protegerá contra un enlace de phishing en redes sociales. Reglas clave: nunca hacer clic en enlaces a exchanges desde publicaciones, siempre verificar el nombre de la cuenta letra por letra y, lo más importante, nunca firmar en la billetera operaciones cuyo significado no se comprenda completamente. La verificación y revocación periódica de permisos otorgados a través de servicios confiables debe convertirse en una rutina obligatoria para todos los que trabajan con DeFi.