Một người dùng HyperSwap đã mất khoảng 12,300 USD sau khi nhấp vào một liên kết airdrop giả mạo trên X, xác nhận yêu cầu từ ví và vô tình cho phép kẻ lừa đảo kiểm soát toàn bộ số tiền của mình.
BeInCrypto đã phối hợp với nạn nhân để tái hiện lại vụ tấn công dựa trên dữ liệu chuỗi khối công khai. Các dữ liệu này cho thấy một chiến dịch lừa đảo cực nhanh diễn ra trong hệ sinh thái Hyperliquid.
Kẻ lừa đảo đã chiếm quyền kiểm soát vị thế của nạn nhân trên HyperSwap, rút hết tiền, chuyển đổi sang HYPE, sau đó chuyển qua Ethereum – tất cả chỉ diễn ra trong chưa tới hai phút.
Lưu ý: HyperSwap là một sàn giao dịch hoạt động trên blockchain Hyperliquid. HyperSwap do đội ngũ riêng phát triển, Hyperliquid không can thiệp vận hành — cũng giống như việc các nhà sáng lập Ethereum không trực tiếp quản lý các ứng dụng như Uniswap chạy trên nền tảng đó.
Nạn nhân sử dụng HyperSwap – một sàn giao dịch phi tập trung cho phép mọi người giao dịch trực tiếp từ ví cá nhân mà không phải gửi tiền cho bên thứ ba.
Nạn nhân đã gửi tiền vào pool thanh khoản trên HyperSwap. Hiểu đơn giản, đây là việc nạp tài sản để người khác giao dịch, đổi lại sẽ nhận được một phần phí giao dịch.
Trên HyperSwap V3, vị thế thanh khoản của nạn nhân được thể hiện qua NFT #178549. NFT này không phải hình sưu tầm mà giống như một biên nhận điện tử. Ai kiểm soát NFT này sẽ kiểm soát luôn số tiền trong pool thanh khoản tương ứng.
Nạn nhân chia sẻ với BeInCrypto rằng anh đã nhìn thấy một bài đăng trên X về một đợt airdrop. Airdrop là hình thức dự án phát token miễn phí thường để tri ân người dùng.
Bài đăng này trông như xuất phát từ tài khoản chính thức của HyperSwap nhưng thực tế lại được đăng bởi một tài khoản mạo danh, sử dụng tên gần giống như tài khoản thật HyperSwapX vốn được liên kết từ website chính thức của dự án.
Khi ấn vào liên kết, nạn nhân đã kết nối ví của mình. Nghĩ rằng chỉ đang kiểm tra xem mình có đủ điều kiện nhận airdrop không, nhưng thực chất anh đã xác nhận một giao dịch giúp cho kẻ lừa đảo được quyền điều chuyển vị thế trên HyperSwap.
Đây chính là thời điểm then chốt của vụ việc.
Các ví crypto thường yêu cầu người dùng xác nhận cho phép thực hiện giao dịch. Một số xác nhận này vô hại, nhưng cũng có những xác nhận trao quyền cho địa chỉ khác chuyển tài sản quan trọng.
Với nhiều người dùng, cảnh báo xác nhận thường xuất hiện và trông rất quen thuộc, khiến họ chủ quan. Các trang web lừa đảo cũng có thể khiến việc xác nhận nguy hiểm trở thành một bước bình thường khi nhận token.
Và đúng trường hợp này đã xảy ra.
Vào lúc 20:21:51 (UTC), ngày 29/06/2024, kẻ lừa đảo đã dùng quyền được cấp trước đó để chuyển NFT #178549 ra khỏi ví nạn nhân. Người dùng không ký thêm gì lúc đó, mọi quyền đã bị trao cho kẻ lừa đảo ngay từ khâu xác nhận trước đó.
Địa chỉ của kẻ lừa đảo là 0x880C95246D7525b84902E6c040818a7C72d3Aa77. Trên explorer HyperEVM, địa chỉ này đã bị gắn nhãn Fake_Phishing3746335, có thẻ “Phish / Hack” do HashDit báo cáo.
NFT này tiếp tục bị chuyển sang một ví khác do kẻ lừa đảo kiểm soát. Khi kiểm soát được NFT đồng nghĩa với việc kiểm soát toàn bộ vị thế thanh khoản kèm theo.
Chỉ 25 giây sau, kẻ lừa đảo đã rút toàn bộ tiền khỏi NFT. Vị thế này chứa khoảng 3,935 USDC và 116.6 WHYPE, với tổng giá trị vào khoảng 12,300 USD tại thời điểm viết bài.
Sau khi rút tiền khỏi vị thế, kẻ lừa đảo lập tức tìm cách chuyển tài sản khỏi HyperEVM.
Đầu tiên, ví của hắn cấp quyền cho LI.FI, một dịch vụ bridge và swap cross-chain khá uy tín, cho phép chuyển tài sản giữa các blockchain khác nhau.
Không có bằng chứng cho thấy LI.FI liên quan đến vụ trộm này – đây chỉ là công cụ được kẻ lừa đảo dùng sau khi đã lấy được tiền.
Sau đó, kẻ lừa đảo đổi số USDC và WHYPE lấy khoảng 175.9 HYPE. Chỉ vài giây sau, lượng HYPE này đã được chuyển (bridge) từ HyperEVM sang Ethereum.
Ví đích là 0xFa47eef42fB2C63DCEA0cAC2295a58036052932D. Trên Ethereum, ví này nhận được số tiền và gần như ngay lập tức chuyển tiếp đi 7.035 ETH chỉ trong một giao dịch.
Ví mới này được tạo cách đó không lâu và gần như bị bỏ trống ngay sau khi rút tiền. Đây là một thủ đoạn quen thuộc trong các đường dây rửa tiền, khi tài sản đánh cắp liên tục được chuyển qua các ví tạm thời để làm khó công tác truy vết.
Từ lúc chuyển NFT đến khi hoàn tất giao dịch bridge, toàn bộ quá trình trộm cắp chỉ diễn ra trong khoảng 84 giây.
Ví của kẻ lừa đảo cho thấy đây không chỉ là một vụ cá biệt mà có thể nằm trong một chiến dịch rộng lớn.
Khi kiểm tra trên explorer, BeInCrypto nhận thấy địa chỉ này hoạt động liên tục suốt 33 ngày và có liên kết với khoảng 25 ví khác nhau, cho thấy kẻ xấu có thể đã nhắm đến nhiều người dùng, không chỉ riêng một nhà đầu tư nhỏ lẻ.
Đối với các nạn nhân, đây là một vấn đề thực tế. Các dữ liệu ghi lại trên blockchain chỉ có thể cho thấy chuyện gì đã xảy ra, nhưng hiếm khi ngăn được nó xảy ra ngay lúc đó.
Một khi người dùng ký phê duyệt sai, kẻ lừa đảo có thể hành động rất nhanh. Khi tiền đã chuyển sang các blockchain khác, việc lấy lại càng khó khăn hơn.
Sau đó, nạn nhân đã cố gắng báo cáo đường link đáng ngờ và yêu cầu gỡ bỏ, nhưng cảm thấy mình bị phớt lờ và dần nghi ngờ rằng đội ngũ HyperSwap đã không xử lý.
Theo những gì BeInCrypto kiểm chứng trên chuỗi, đây là một vụ tấn công phishing từ tài khoản giả mạo. Tài khoản X giả hoàn toàn tách biệt với tài khoản chính thức của HyperSwap. Tài khoản chính thức của HyperSwap cùng hợp đồng chính thức không liên quan đến việc đánh cắp tài sản.
Tuy nhiên, trải nghiệm của nạn nhân đã làm nổi bật một điểm yếu lớn của hệ sinh thái. Người dùng có thể bị lừa qua các tài khoản mạng xã hội giả mạo, bị vét sạch tiền bởi các phê duyệt ví khó hiểu, và sau cùng gần như không có lựa chọn rõ ràng nào khi tiền đã mất.
Trong quá trình trao đổi với các nhà báo BeInCrypto, nạn nhân cho biết họ đã thử nhiều cách khác nhau để cảnh báo đội ngũ Hyperliquid về vụ lừa đảo, nhưng không nhận được phản hồi.
Theo nạn nhân, kênh liên lạc duy nhất còn hoạt động với HyperSwap là Discord. Tại thời điểm viết bài, đường link vào Discord này đã không còn hợp lệ. Vì vậy, nạn nhân đã cố gắng liên hệ với đội ngũ thuộc hệ sinh thái mà dự án hoạt động, nhưng nỗ lực này cũng không thành công.
Nhìn chung, phương thức của kẻ lừa đảo khá đơn giản. Một tài khoản giả quảng cáo một đợt airdrop giả. Một trang web giả lấy được quyền phê duyệt ví. Một ví lừa đảo đã bị đánh dấu lấy hết vị thế HyperSwap của nạn nhân, rút sạch rồi chuyển tiền sang Ethereum.
Số tiền bị mất vào khoảng 12,300 USD. Toàn bộ quá trình đánh cắp chỉ mất chưa tới hai phút.
Nạn nhân cho rằng có thể đội ngũ HyperSwap đã tham gia vào vụ việc này hoặc cố ý giấu nhẹm thông tin. Tuy nhiên, BeInCrypto không thể tìm thấy bất kỳ bằng chứng xác thực nào cho các cáo buộc này.