Engaño mediante una cuenta falsa en X
El usuario de HyperSwap vio una publicación que anunciaba un airdrop gratuito. La cuenta que la difundió imitaba el nombre oficial de HyperSwap, pero era una cuenta impostora. Al seguir el enlace, el usuario conectó su wallet creyendo que estaba verificando la elegibilidad para el airdrop.
En realidad, la página solicitó una aprobación que permitía al atacante mover la posición de liquidez del usuario, representada por el NFT #178549.
Aprobación que entregó el control del NFT
El 29 de junio a las 20:21:51 UTC, el estafador utilizó la autorización concedida para transferir el NFT a su propia dirección 0x880C95246D7525b84902E6c040818a7C72d3Aa77, marcada como Fake_Phishing3746335 por HashDit.
Veinticinco segundos después, retiró los activos vinculados al NFT: aproximadamente 3,935 USDC y 116.6 WHYPE, cuyo valor total rondaba los 12,300 dólares.
Rápida conversión y traslado a Ethereum
El atacante utilizó el servicio de puente LI.FI para convertir los USDC y WHYPE en 175.9 HYPE y, mediante otro puente, los envió a la cadena Ethereum, donde la wallet de destino recibió los fondos y casi de inmediato transfirió 7,035 ETH en una sola operación.
Todo el proceso, desde la transferencia del NFT hasta la salida de los fondos, duró apenas 84 segundos.
Indicios de una operación de phishing más amplia
El explorador de blockchain muestra que la dirección del estafador estuvo activa durante 33 días y está vinculada a unas 25 direcciones adicionales, lo que sugiere posibles ataques a más usuarios.
La víctima intentó alertar al equipo de HyperSwap a través de Discord y, según su testimonio, también intentó comunicar la vulnerabilidad mediante varias vías en GitHub, sin obtener respuesta.
Este caso evidencia la vulnerabilidad de los usuarios de exchanges descentralizados frente a cuentas falsas en redes sociales y a aprobaciones de wallet engañosas, dejando escasas opciones de recuperación una vez que los fondos son trasladados.
