Golpes de phishing contra usuários da Hyperliquid em 2026

6 de mai. de 2026

  • hyperliquid phishing scam

  • hyperliquid phishing 2026

  • hyperliquid scam alert

  • golpe de phishing Hyperliquid

À medida que a base de usuários da Hyperliquid continua crescendo, os golpes de phishing direcionados a traders da plataforma também aumentaram de forma significativa entre 2025 e 2026. As táticas estão cada vez mais sofisticadas: de sites falsos malfeitos a bots de Discord quase indistinguíveis dos oficiais, de anúncios falsos de airdrop a campanhas maliciosas comprando espaço no topo do Google Ads.

Este artigo reúne os principais tipos de ataque em circulação para ajudar você a reconhecer e evitar golpes antes de cair em um.

Como a OWASP define ataques de phishing, a essência desse tipo de golpe é induzir a vítima, por meio de engano, a entregar voluntariamente informações sensíveis ou conceder autorizações. Entender isso ajuda você a manter a atenção sempre que uma solicitação “parece confiável demais”.

As cinco categorias de golpe mais ativas em 2026

Golpe 1: sites falsos imitando o site oficial da Hyperliquid

Atacantes registram domínios extremamente parecidos com o domínio oficial, trocando letras de forma sutil, por exemplo hyperliquid.xyz por hyperiiquid.xyz, ou usando outros TLDs, como .net, .io, .vip e similares. Esses sites falsos costumam copiar toda a interface oficial, inclusive elementos interativos.

O risco começa quando você conecta a carteira e assina alguma transação. Uma única assinatura maliciosa pode autorizar a transferência dos seus ativos.

A única entrada oficial do app da Hyperliquid é https://app.hyperliquid.xyz/. Qualquer outro domínio deve ser tratado com extrema desconfiança.

Golpe 2: phishing via anúncios em buscadores

Atacantes compram anúncios para palavras-chave como “Hyperliquid” e posicionam sites falsos no topo dos resultados de busca. Como anúncios aparecem acima dos resultados orgânicos, muitos usuários clicam no primeiro link sem perceber que não é o site oficial.

A melhor prática é simples: acesse a Hyperliquid sempre por um link salvo nos favoritos do navegador, e não por busca no Google ou em outros mecanismos de pesquisa. Adicionar https://app.hyperliquid.xyz/ aos favoritos é uma das medidas de proteção mais eficientes.

Golpe 3: airdrops e recompensas de pontos falsos

Golpistas se passam pela Hyperliquid e divulgam supostos “airdrops exclusivos” ou “campanhas de aceleração de pontos” em canais como Telegram, Discord e Twitter/X. Normalmente, a mensagem vem com um link para “resgatar” a recompensa. Ao clicar, o usuário é levado a conectar a carteira e assinar uma transação maliciosa — ou, em casos ainda mais óbvios, inserir a seed phrase.

A regra é clara: airdrops ou programas de pontos oficiais devem ser anunciados apenas no site oficial da Hyperliquid e em contas oficiais verificadas, como o Twitter/X oficial. A equipe não entra em contato por DM ou grupos privados oferecendo recompensas individuais.

Golpe 4: falso suporte técnico ou atendimento oficial

Em grupos de Telegram, servidores de Discord ou no Twitter/X, atacantes abordam usuários que relataram problemas e se apresentam como “suporte oficial da Hyperliquid”. Eles podem pedir endereço da carteira, histórico de transações e, depois, tentar induzir você a “verificar a carteira” ou “resetar permissões”. Na prática, isso normalmente significa assinar uma aprovação maliciosa.

A Hyperliquid não entra em contato por mensagem privada para fazer suporte proativo. Qualquer DM dizendo ser “atendimento oficial” deve ser ignorada.

Golpe 5: DApps maliciosos no ecossistema HyperEVM

Com a expansão do ecossistema HyperEVM, começaram a surgir aplicações maliciosas mirando usuários desse ambiente. Os atacantes publicam DApps que parecem legítimos, mas inserem solicitações de aprovação de tokens, como permissões approve, durante a interação.

Sem perceber, o usuário pode conceder permissão ilimitada para que um contrato movimente determinado token. Depois disso, os ativos podem ser drenados em lote.

Para entender melhor esse tipo de ataque com DApps e drenadores de carteira, vale consultar pesquisas como os relatórios da Chainalysis sobre drainers.

Regras gerais para identificar tentativas de phishing

Proteção absoluta da seed phrase e da chave privada

As orientações de segurança da MetaMask sobre seed phrase deixam claro: nenhum aplicativo legítimo, equipe de suporte oficial ou ferramenta real vai pedir sua seed phrase ou chave privada. Não há exceção.

A seed phrase, também chamada de Secret Recovery Phrase, e a chave privada são a prova de propriedade dos seus ativos. Qualquer pessoa que tenha acesso a essas informações pode movimentar seus fundos sem precisar de mais nenhuma verificação.

Se alguém pedir sua seed phrase por qualquer motivo, trate como golpe — mesmo que a pessoa diga ser da equipe da Hyperliquid, um KOL conhecido, suporte técnico ou qualquer outra autoridade.

Perguntas frequentes

Q1: Como verificar se estou acessando o site real da Hyperliquid?

Confira três pontos: se a URL completa é exatamente https://app.hyperliquid.xyz/, se a barra de endereço do navegador mostra um certificado HTTPS válido e se o link veio de um favorito que você adicionou manualmente antes. Quando esses três critérios são atendidos, o risco fica mais controlado.

Q2: Conectei minha carteira em um site suspeito, mas não assinei nenhuma transação. Há risco?

Apenas conectar a carteira, no passo de “connect wallet”, geralmente não causa perda direta de ativos, porque essa ação por si só não transfere fundos. Ainda assim, desconecte o site imediatamente e use uma ferramenta como Revoke.cash para verificar se existe alguma autorização inesperada registrada.

Q3: Recebi um e-mail que parece ter sido enviado pela Hyperliquid. Posso confiar?

Primeiro, verifique se o domínio do remetente corresponde exatamente ao domínio oficial. Mesmo que o e-mail pareça legítimo, não clique nos links dentro da mensagem. Acesse o site oficial diretamente pelo favorito do navegador e confirme por lá. Phishing por e-mail continua sendo uma das formas mais comuns de ataque, como também apontam materiais da OWASP sobre o tema.

Q4: Bots oficiais da Hyperliquid no Discord são confiáveis?

Bots verificados dentro do servidor oficial podem servir como referência, mas você deve entrar no Discord sempre por links divulgados no site oficial, e não por resultados de busca ou convites enviados por terceiros. Servidores falsos de Discord podem parecer praticamente idênticos aos verdadeiros.

Q5: Encontrei um possível site de phishing. Onde devo denunciar?

Você pode denunciar o site malicioso ao navegador, como Chrome ou Firefox, enviar para o Google Safe Browsing e alertar os canais oficiais da comunidade da Hyperliquid. Ajudar a comunidade a identificar esses sites protege todos os usuários.

Use uma carteira hardware OneKey como última linha de defesa

Independentemente do nível de sofisticação do phishing, uma carteira hardware OneKey adiciona uma camada física de proteção que ataques puramente via software não conseguem contornar:

  • Suas chaves privadas nunca saem do dispositivo hardware. Mesmo que você acesse um site falso ou forneça outras informações, o atacante não obtém sua chave privada.
  • Cada transação precisa ser confirmada fisicamente na tela do dispositivo, dando a você uma última chance de revisar o endereço do contrato e o tipo de operação antes de assinar.
  • As informações exibidas no dispositivo hardware representam os dados finais de assinatura, reduzindo o risco de manipulação por extensão de navegador ou script malicioso.

Esse mecanismo de confirmação física é uma das ferramentas mais eficazes contra engenharia social. Mesmo que você seja induzido a conectar a carteira em um site falso, ainda pode recusar a transação ao identificar algo suspeito na tela da OneKey.

Para quem opera na Hyperliquid, usar a Hyperliquid com o OneKey Perps é uma prática mais segura e organizada: você mantém um fluxo de trading eficiente, mas com maior controle sobre assinaturas, permissões e exposição da carteira.

Para começar, acesse onekey.so/download, baixe o app da OneKey, configure sua carteira hardware e use o OneKey Perps como seu fluxo prático para operar perps com mais atenção à segurança.

Conclusão

A ameaça de phishing deve continuar evoluindo em 2026, porque o crescimento da Hyperliquid torna seus usuários alvos mais valiosos. Você não precisa ser especialista em segurança para se proteger melhor. Algumas regras simples já reduzem muito o risco: acesse apenas por favoritos, nunca compartilhe sua seed phrase, revise tudo antes de assinar e mantenha a posição principal protegida por uma carteira hardware.

A carteira hardware OneKey transforma essas boas práticas em proteção aplicada no nível do dispositivo. Para conhecer os produtos e configurar seu fluxo com OneKey Perps, visite onekey.so.

Aviso de risco: este conteúdo é apenas informativo e não constitui aconselhamento financeiro, jurídico ou de investimento. A segurança de criptoativos é responsabilidade individual. Os tipos de golpe citados aqui não são uma lista completa. Continue acompanhando novas ameaças e mantenha alerta máximo diante de qualquer solicitação de chave privada ou seed phrase.

Proteja sua jornada criptográfica com o OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

A carteira de hardware mais avançada do mundo.

View details for Baixar aplicativoBaixar aplicativo

Baixar aplicativo

Alertas de golpe. Todas as moedas suportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clareza Cripto—A uma chamada de distância.