Une fausse app Hyperliquid sur Google Play dérobe 280 000 $

Les arnaqueurs surfent sur la notoriété de Hyperliquid avec une application Android qui n’existe pas officiellement. Malgré des signalements répétés, l’app a piégé des utilisateurs en leur soutirant leurs clés et en vidant leurs wallets.

L’adresse associée au scam a déjà collecté plus de 280 000$, ce qui révèle un point faible connu : quand un projet n’a pas d’app mobile, l’écosystème des stores devient un terrain fertile pour l’usurpation.

Comment l’arnaque a fonctionné

Le faux “Hyperliquid” copie la charte visuelle, reprend la description d’un exchange performant et vous demande de “connecter” un wallet. L’étape clé arrive quand l’app réclame des autorisations trop larges, pousse à importer une seed ou à signer des messages hors contexte.

Une fois les accès obtenus, les fonds partent vers un portefeuille relais, puis se dispersent. La mécanique n’a rien de neuf, mais elle gagne en efficacité quand le nom de la cible inspire confiance. À l’échelle d’un store, il suffit de quelques jours en ligne et d’un peu d’achat d’annonces pour capter des utilisateurs pressés.

Pourquoi Google Play laisse encore passer ça

Le contrôle automatisé repère mieux les malwares classiques que les tromperies d’UX. Une app qui affiche une interface propre, appelle des SDK légitimes et n’exécute pas de code malveillant localement peut franchir la barrière. La fraude se joue alors côté utilisateur, via des écrans persuasifs, et côté blockchain, via des “approvals” et des signatures qui paraissent normales.

Tant que l’app n’exfiltre pas directement des données depuis Android, elle se faufile. Le pire, c’est l’autorité symbolique conférée par le badge “Disponible sur Google Play”, perçu comme un sceau de sécurité alors qu’il ne dit presque rien sur la légitimité crypto du produit.

Le piège des résultats sponsorisés

Beaucoup d’utilisateurs ne tapent pas l’URL du site dans le navigateur. Ils googlent “hyperliquid app”, cliquent le premier résultat, souvent une annonce. Les fraudeurs le savent et achètent ces emplacements. Même les équipes les plus sérieuses subissent ce parasitage, car l’arbitrage pub se joue au mot-clé, pas à la réputation on-chain.

Tant que l’utilisateur ne remonte pas à la source officielle, le risque reste élevé. C’est particulièrement vrai sur mobile, où les aperçus sont petits et les indicateurs d’authenticité noyés dans l’interface.

Bonnes pratiques pour ne pas se faire cueillir

Commencez par le principe le plus simple : Hyperliquid n’a pas d’app mobile officielle. Si vous en voyez une, c’est une copie. Passez toujours par le site du projet et, depuis là, suivez le lien “Download” ou “Docs” clairement indiqué. Méfiez-vous de toute app qui demande une seed phrase ou des clés privées. Une app légitime n’en a jamais besoin.

Sur Android, refusez les permissions qui ne sont pas nécessaires à l’usage prévu. Sur la blockchain, vérifiez les “approvals” en cours et révoquez tout ce qui n’est pas indispensable. N’utilisez pas de wallet principal pour tester un outil inconnu. Faites vos premiers pas avec un portefeuille dédié, faiblement capitalisé, pour limiter l’impact d’une erreur.

Reste la question des stores. Faut-il bannir toute app crypto non signée par un acteur archi-connu ? La réponse est plus subtile. L’innovation passe souvent par de petites équipes. Mais l’autodéfense de base ne change pas : vérifiez l’éditeur, croisez les informations avec le site officiel, lisez les autorisations, observez le comportement réseau.

Et souvenez-vous que l’essentiel de la fraude n’exige pas un exploit technique. Elle exploite notre impatience.

Enfin, ne comptez pas sur un correctif magique côté plateforme. Les stores améliorent leurs filtres, mais les imitateurs s’adaptent vite. La meilleure protection reste votre hygiène opérationnelle.

Si vous vous demandez encore “est-ce que cette app existe vraiment ?”, la bonne réaction est de fermer l’onglet, d’ouvrir le site officiel du protocole et de vérifier. Une minute de doute vaut mieux qu’un transfert définitif.

Pour aller plus loin sur le sujet :

• Hyperliquid sous le feu : Jeff Yan démonte le FUD sur les revenus du protocole
• Coinhouse nous révèle les trois arnaques à la cryptomonnaie les plus courantes
• Ripple dénonce une nouvelle crypto arnaque sur YouTube