Reklamy phishingowe Uniswap w Google rzekomo wyczerpały co najmniej 400 000 dolarów

Użytkownicy kryptowalut wyszukujący Uniswap w Google po raz kolejny wpadają w dobrze znąną pułapkę. W najnowszym przypadku phishingu Uniswap przez Google Ads fałszywe linki sponsorowane pomogły oszustom ukraść co najmniej 400 000 dolarów, kierując użytkowników na sklonowaną stronę, która wyglądała wystarczająco wiarygodnie, by zdobyć ich zaufanie.

To, co wyróżnia ten przypadek, to jak zwyczajnie wygląda cały mechanizm. Użytkownik wyszukuje znany brand DeFi, widzi płatny wynik powyżej legalnego linku, klika, łączy portfel i zatwierdza transakcję. Chwilę później środki znikają.

Ten schemat stał się alarmująco powszechny w świecie kryptowalut. Tymczasem badacze bezpieczeństwa twierdzą, że ta kampania oparta na motywie Uniswap jest częścią szerszej fali fałszywych reklam krypto i stron phishingowych w wyszukiwarce Google rozprzestrzeniających się w wynikach wyszukiwania.

Fałszywe reklamy Uniswap na Google podobno opróżniły co najmniej 400 000 dolarów

Zgłoszone straty związane z fałszywą kampanią Uniswap osiągnęły co najmniej 400 000 dolarów, według raportów on-chain cytowanych przez obserwatorów bezpieczeństwa.

Analityk on-chain b-block powiązał operację z dwoma adresami portfeli przechowującymi 146 ETH. Artykuł podaje, że te portfele łącznie posiadały wówczas około 306 000 dolarów, na podstawie danych z Etherscan.

Stacy Muur, założycielka Green Dots, stwierdziła, że reklamy phishingowe były umieszczane powyżej legalnych linków Uniswap w wyszukiwarce Google. Udostępniła również zrzut ekranu pokazujący fałszywy wynik sponsorowany, podkreślając podstawowy problem tego rodzaju konfiguracji phishingu w wyszukiwarce Google: złośliwy link może pojawić się przed prawdziwym.

Ma to znaczenie, ponieważ pozycja w wyszukiwarce szybko zmienia zachowanie użytkowników. W kryptowalutach, gdzie użytkownicy często działają szybko, łącząc portfele, zamieniając tokeny lub ścigając ruchy rynkowe, jedno błędne kliknięcie może zamienić rutynową wizytę w pełne przejęcie portfela.

Jak działała kampania phishingowa

Mechanika była prosta, ale skuteczna. Raporty bezpieczeństwa powiązały kampanię ze sponsorowanymi reklamami w wyszukiwarce Google, które naśladowały oficjalną listę Uniswap. Po kliknięciu użytkownicy trafiali na stronę phishingową, która dokładnie kopiowała interfejs Uniswap.

Stamtąd pułapka przeniosła się on-chain.

Atakujący użyli złośliwego smart kontraktu, aby nakłonić ofiary do zatwierdzenia nieograniczonych transferów aktywów. Po udzieleniu tego zatwierdzenia oszuści nie potrzebowali kluczy prywatnych do przenoszenia środków. Samo zatwierdzenie otworzyło drzwi.

W praktyce oszustwo opróżniania portfela przebiegało według znajomego schematu:

• Fałszywa sponsorowana reklama pojawia się powyżej legalnego wyniku Uniswap
• Ofiara łączy portfel na sklonowanym interfejsie i podpisuje zatwierdzenie
• Złośliwy kontrakt uzyskuje uprawnienia do transferu i opróżnia aktywa

To jeden z powodów, dla których zagrożenie phishingiem Uniswap przez Google Ads jest tak skuteczne. Nie polega na włamaniu się do portfela w tradycyjnym sensie. Zamiast tego wykorzystuje zaufanie użytkowników i normalny przepływ zatwierdzeń wbudowany w zdecentralizowane aplikacje.

Dlaczego grupy bezpieczeństwa mówią, że zagrożenie rośnie

Grupy bezpieczeństwa od miesięcy ostrzegają, że fałszywe reklamy krypto nie są odosobnionymi incydentami. Są to powtarzające się kanały ataku.

SEAL wcześniej podało, że phishing związany z reklamami Google Search ukradł ponad 1,27 miliona dolarów tylko między 13 a 30 marca. Organizacja stwierdziła również, że w ciągu ostatniego roku zablokowała ponad 356 złośliwych linków reklamowych.

Ta skala sugeruje, że problem nie jest już tylko kwestią podszywania się pod markę dla jednego protokołu. Staje się problemem infrastrukturalnym dla samego odkrywania kryptowalut. Jeśli główne usługi DeFi są podszywane tam, gdzie użytkownicy po raz pierwszy je znajdują w wyszukiwarkach, to powierzchnia ataku zaczyna się jeszcze przed dotarciem do aplikacji.

SEAL podało, że atakujący albo kupują reklamy Google bezpośrednio, albo przejmują legalne konta reklamodawców, aby dystrybuować fałszywe linki podszywające się pod główne protokoły i giełdy. Grupa stwierdziła również, że złośliwi aktorzy często przebijają oferty legalnych firm, pomagając stronom phishingowym wznosić się na szczyt sponsorowanych wyników wyszukiwania.

Dlaczego model Google Ads jest tak przydatny dla oszustów

Model Google Ads działa dla atakujących, ponieważ pożycza zaufanie od samej wyszukiwarki. W rezultacie użytkownicy mogą zakładać, że sponsorowany wynik jest bezpieczny, zwłaszcza gdy używa znajomej nazwy, takiej jak Uniswap.

W kryptowalutach ta luka zaufania jest szczególnie niebezpieczna. Użytkownicy często działają szybko, a nawet jedno zatwierdzenie może dać złośliwemu kontraktowi uprawnienia do opróżnienia środków.

Schemat wykraczający poza Uniswap

Najnowszy incydent wpisuje się w szerszy trend.

Scam Sniffer wcześniej informował, że użytkownik stracił ponad 1,23 miliona dolarów w NFT Uniswap za pośrednictwem fałszywej strony. W tym przypadku też strona phishingowa podobno skopiowała prawdziwy interfejs i wykorzystała złośliwy przepływ transakcji do opróżnienia środków po zatwierdzeniu.

PeckShield Alert ostrzegał również przed fałszywymi reklamami Aave pojawiającymi się w wynikach wyszukiwania Google. Oznacza to, że problem nie ogranicza się do jednego tokena, jednej giełdy ani jednej kampanii. Dotyka wielu rozpoznawalnych marek DeFi.

Badacze bezpieczeństwa wskazali również na sklonowane interfejsy i domeny Punycode jako powtarzające się taktyki. Te fałszywe strony mogą wyglądać niemal identycznie jak prawdziwe, zwłaszcza w połączeniu z płatną reklamą i znajomą nazwą marki. Dla użytkowników działających szybko różnica może być trudna do zauważenia.

Dlaczego ma to znaczenie dla użytkowników kryptowalut i platform DeFi

Ta historia dotyczy czegoś więcej niż jednego pierścienia phishingowego.

Większy problem polega na tym, że reklama w wyszukiwarkach pozostaje bezpośrednim kanałem prowadzącym do oszustw opróżniania portfeli. Dla platform kryptowalutowych stwarza to problem wizerunkowy i zaufania, nawet gdy ich własne systemy nie zostały naruszone. Dla użytkowników oznacza to, że podstawowe działania, takie jak wyszukiwanie strony głównej protokołu, mogą nieść ukryte ryzyko.

Pomaga to również wyjaśnić, dlaczego zespoły bezpieczeństwa skupiają się na zatwierdzeniach, a nie tylko na hasłach czy frazach seed. W wielu z tych ataków ofiary nie przekazują kluczy prywatnych. Autoryzują złośliwe transfery przez interfejsy zaprojektowane tak, by wyglądały legalnie.

To rozróżnienie ma znaczenie, ponieważ zmienia sposób, w jaki dochodzi do kradzieży kryptowalut. Słabym punktem często nie jest samo oprogramowanie portfela, ale ścieżka, którą użytkownicy pokonują, aby dotrzeć do aplikacji.

Bitwa w wyszukiwarkach staje się częścią bezpieczeństwa kryptowalut

Najnowsza kampania phishingu Uniswap przez Google Ads pokazuje, jak ściśle bezpieczeństwo kryptowalut nakłada się teraz na widoczność w wyszukiwarkach, rozmieszczenie reklam i podszywanie się pod marki.

Powiązanie b-block z dwoma portfelami przechowującymi 146 ETH daje sprawie kotwicę on-chain, podczas gdy szersze dane SEAL wskazują na większy trend, który wciąż uderza w użytkowników w całym sektorze. Dodając ostrzeżenia dotyczące Aave i wcześniejsze straty związane z Uniswap, przesłanie jest trudne do przeoczenia: dla wielu atakujących polowanie na ofiary zaczyna się na długo przed podłączeniem portfela.