Пользователи криптовалют, ищущие Uniswap в Google, снова сталкиваются с уже знакомой ловушкой. В последнем случае с фишинговыми Google-рекламами Uniswap поддельные спонсируемые ссылки, по сообщениям, помогли мошенникам украсть как минимум 400 000 долларов, перенаправляя пользователей на клонированный сайт, который выглядел достаточно правдоподобно, чтобы завоевать их доверие.
То, что выделяет этот случай, — насколько обычной кажется схема. Пользователь ищет крупный DeFi‑бренд, видит платный результат выше легитимной ссылки, кликает, подключает кошелёк и одобряет транзакцию. Спустя несколько мгновений активы исчезают.
Такая схема стала тревожно распространённой по всему крипторынку. Тем временем исследователи безопасности говорят, что эта кампания с темой Uniswap является частью более широкой волны поддельной крипторекламы и фишинговых сайтов в Google‑поиске, распространяющихся через результаты поиска.
Summary
Поддельные объявления Uniswap в Google, по сообщениям, вывели как минимум 400 000 долларов
Сообщаемые потери, связанные с поддельной кампанией Uniswap, достигли как минимум 400 000 долларов, согласно ончейн‑отчётам, на которые ссылаются наблюдатели в сфере безопасности.
Ончейн‑аналитик b-block связал операцию с двумя адресами кошельков, на которых находилось 146 ETH. В статье говорится, что на этих кошельках вместе было примерно 306 000 долларов на тот момент, исходя из данных Etherscan.
Стейси Мур, основательница Green Dots, сказала, что фишинговые объявления размещались выше легитимных ссылок Uniswap в поиске Google. Она также поделилась скриншотом, показывающим поддельный спонсируемый результат, подчёркивая ключевую проблему в подобной схеме фишинга через Google‑поиск: вредоносная ссылка может появиться раньше настоящей.
Это важно, потому что позиция в поиске очень быстро меняет поведение пользователей. В криптоиндустрии, где пользователи часто действуют быстро — подключают кошельки, обменивают токены или гонятся за движениями рынка, — один неверный клик может превратить обычный визит в полную компрометацию кошелька.
Как работала фишинговая кампания
Механика была простой, но эффективной. В отчётах по безопасности кампания была связана со спонсируемыми объявлениями Google‑поиска, которые имитировали официальный листинг Uniswap. После клика пользователи попадали на фишинговую страницу, которая очень точно копировала интерфейс Uniswap.
Дальше ловушка переходила в ончейн‑плоскость.
Злоумышленники использовали вредоносный смарт‑контракт, чтобы обманом заставить жертв одобрить неограниченные переводы активов. Как только такое одобрение было дано, мошенникам не нужны были приватные ключи для перемещения средств. Само одобрение открывало дверь.
На практике схема по опустошению кошельков следовала знакомой последовательности:
- Поддельное спонсируемое объявление появляется выше легитимного результата Uniswap
- Жертва подключает кошелёк на клонированном интерфейсе и подписывает одобрение
- Вредоносный контракт получает права на перевод и выводит активы
Это одна из причин, почему угроза фишинговых Google‑объявлений Uniswap настолько эффективна. Она не зависит от взлома кошелька в традиционном смысле. Вместо этого она злоупотребляет доверием пользователя и обычным процессом одобрения, встроенным в децентрализованные приложения.
Почему группы по безопасности говорят, что угроза растёт
Группы по безопасности уже несколько месяцев предупреждают, что поддельные криптообъявления — это не единичные инциденты. Это повторяющиеся каналы атак.
SEAL ранее заявляла, что фишинг, связанный с рекламой в Google Search, украл более 1,27 миллиона долларов только в период с 13 по 30 марта. Организация также сообщила, что заблокировала более 356 вредоносных рекламных ссылок за последний год.
Такой масштаб говорит о том, что проблема больше не сводится лишь к подделке бренда одного протокола. Она превращается в инфраструктурную проблему для самого процесса поиска криптосервисов. Если крупные DeFi‑сервисы подделываются там, где пользователи впервые их находят — в поисковых системах, — то поверхность атаки начинается ещё до того, как кто‑либо вообще доберётся до приложения.
SEAL сообщила, что злоумышленники либо напрямую покупают рекламу в Google, либо компрометируют аккаунты легитимных рекламодателей, чтобы распространять поддельные ссылки, выдающие себя за крупные протоколы и биржи. Группа также отметила, что злоумышленники часто перебивают ставки легитимных компаний, помогая фишинговым страницам подниматься на вершину спонсируемых результатов поиска.
Почему модель Google Ads так полезна для мошенников
Модель Google Ads работает на злоумышленников, потому что заимствует доверие к самой поисковой системе. В результате пользователи могут предположить, что спонсируемый результат безопасен, особенно если он использует знакомое имя, такое как Uniswap.
В криптоиндустрии этот разрыв доверия особенно опасен. Пользователи часто действуют быстро, и даже одно одобрение может дать вредоносному контракту разрешение на вывод средств.
Схема, выходящая за рамки Uniswap
Последний инцидент вписывается в более широкую тенденцию.
Scam Sniffer ранее сообщал, что один пользователь потерял более 1,23 миллиона долларов в Uniswap NFT через поддельный сайт. И в том случае фишинговая страница, по сообщениям, копировала настоящий интерфейс и использовала вредоносный поток транзакций для вывода средств после одобрения.
PeckShield Alert также предупреждал о поддельных объявлениях Aave, появляющихся в результатах поиска Google. Это означает, что проблема не ограничивается одним токеном, одной биржей или одной кампанией. Она затрагивает несколько узнаваемых DeFi‑брендов.
Исследователи безопасности также указывали на клонированные интерфейсы и домены с использованием Punycode как на повторяющиеся тактики. Эти поддельные сайты могут выглядеть почти идентично настоящим, особенно в сочетании с платной рекламой и знакомым брендом. Для пользователей, действующих быстро, разницу бывает трудно заметить.
Почему это важно для криптопользователей и DeFi‑платформ
Эта история — о большем, чем одна фишинговая группа.
Более серьёзная проблема в том, что поисковая реклама остаётся прямым каналом в схемы по опустошению кошельков. Для криптоплатформ это создаёт проблему бренда и доверия, даже если их собственные системы не взломаны. Для пользователей это означает, что даже базовые действия, такие как поиск главной страницы протокола, могут нести скрытый риск.
Это также помогает объяснить, почему команды безопасности продолжают фокусироваться на одобрениях, а не только на паролях или seed‑фразах. Во многих из этих атак жертвы не передают приватные ключи. Они авторизуют вредоносные переводы через интерфейсы, созданные выглядеть легитимно.
Это различие важно, потому что оно меняет то, как происходит кража криптоактивов. Слабым местом часто является не само программное обеспечение кошелька, а путь, по которому пользователи попадают в приложение.
Борьба за поиск становится частью криптобезопасности
Последняя кампания с фишинговыми Google‑объявлениями Uniswap показывает, насколько тесно криптобезопасность теперь пересекается с видимостью в поиске, размещением рекламы и подделкой брендов.
Связь b-block с двумя кошельками, на которых находится 146 ETH, придаёт делу ончейн‑опору, в то время как более широкие цифры от SEAL указывают на более крупную тенденцию, которая по‑прежнему затрагивает пользователей по всему сектору. Если добавить предупреждения, связанные с Aave, и более ранние потери, связанные с Uniswap, послание становится очевидным: для многих злоумышленников охота на жертв начинается задолго до того, как кошелёк будет подключён.
