Фишинговая реклама Uniswap в Google предположительно опустошила не менее 400 000$

Пользователи криптовалют, ищущие Uniswap в Google, снова попадают в знакомую ловушку. В последнем случае с фишингом Uniswap через Google Ads поддельные спонсируемые ссылки, по имеющимся данным, помогли мошенникам похитить не менее 400 000 $, направляя пользователей на клонированный сайт, выглядевший достаточно правдоподобно, чтобы завоевать их доверие.

Особенность этого случая — в обманчивой простоте схемы. Пользователь ищет крупный DeFi-бренд, видит платный результат выше легитимной ссылки, нажимает на него, подключает кошелёк и подтверждает транзакцию. Спустя мгновение активы исчезают.

Эта схема стала пугающе распространённой в криптовалютной сфере. Тем временем исследователи безопасности говорят, что кампания под брендом Uniswap является частью более широкой волны поддельной криптовалютной рекламы и сайтов фишинга через поиск Google, распространяющихся в результатах поиска.

Поддельная реклама Uniswap в Google, по имеющимся данным, опустошила не менее 400 000 $

По данным ончейн-отчётности, на которую ссылаются эксперты по безопасности, потери, связанные с фиктивной кампанией Uniswap, составили не менее 400 000 $.

Ончейн-аналитик b-block связал операцию с двумя адресами кошельков, на которых хранится 146 ETH. По данным Etherscan, на тот момент на этих кошельках в совокупности находилось около 306 000 $.

Стейси Муур, основатель Green Dots, сообщила, что фишинговая реклама размещалась выше легитимных ссылок Uniswap в поиске Google. Она также опубликовала скриншот с поддельным спонсируемым результатом, подчеркнув ключевую проблему подобных схем фишинга через поиск Google: вредоносная ссылка может появляться раньше настоящей.

Это важно, потому что позиция в результатах поиска быстро меняет поведение пользователей. В криптовалютной сфере, где пользователи часто действуют стремительно — подключают кошельки, производят своп токенов или реагируют на движения рынка, — один неверный клик может превратить рядовое посещение сайта в полную компрометацию кошелька.

Как работала фишинговая кампания

Механика была простой, но эффективной. По данным отчётов по безопасности, кампания была связана со спонсируемой рекламой в поиске Google, имитировавшей официальный листинг Uniswap. После перехода по ссылке пользователи попадали на фишинговую страницу, точно копировавшую интерфейс Uniswap.

Далее ловушка переходила в ончейн-пространство.

Злоумышленники использовали вредоносный смарт-контракт, чтобы обманом вынудить жертв одобрить неограниченные переводы активов. После получения этого разрешения мошенникам не требовались приватные ключи для перемещения средств. Само одобрение открывало дверь.

На практике схема опустошения кошелька следовала знакомой последовательности:

• Поддельная спонсируемая реклама появляется выше легитимного результата Uniswap
• Жертва подключает кошелёк на клонированном интерфейсе и подписывает разрешение
• Вредоносный контракт получает права на перевод и опустошает активы

Именно поэтому угроза фишинга Uniswap через Google Ads столь эффективна. Она не зависит от взлома кошелька в традиционном смысле. Вместо этого она эксплуатирует доверие пользователей и стандартный процесс подтверждения, встроенный в децентрализованные приложения.

Почему группы безопасности говорят о росте угрозы

Группы безопасности на протяжении нескольких месяцев предупреждают, что поддельная криптовалютная реклама — это не единичные инциденты. Это повторяющиеся каналы атак.

SEAL ранее сообщал, что фишинг, связанный с рекламой в Google Search, похитил более 1 270 000 $ только в период с 13 по 30 марта. Организация также сообщила, что за прошедший год заблокировала более 356 вредоносных рекламных ссылок.

Подобный масштаб свидетельствует о том, что проблема уже не является лишь проблемой имитации бренда одного протокола. Она превращается в инфраструктурную проблему для всей криптовалютной отрасли. Если крупные DeFi-сервисы имитируются там, где пользователи впервые находят их — в поисковых системах, то поверхность атаки начинается ещё до того, как кто-либо добирается до приложения.

SEAL сообщил, что злоумышленники либо напрямую покупают рекламу в Google, либо компрометируют легитимные рекламные аккаунты для распространения поддельных ссылок, имитирующих крупные протоколы и биржи. Группа также указала, что вредоносные субъекты нередко переставляют легитимные компании в торгах, помогая фишинговым страницам подниматься на вершину спонсируемых результатов поиска.

Почему модель Google Ads так удобна для мошенников

Модель Google Ads работает для злоумышленников, потому что заимствует доверие у самой поисковой системы. В результате пользователи могут считать спонсируемый результат безопасным, особенно когда он использует знакомое имя, такое как Uniswap.

В криптовалютной сфере этот разрыв доверия особенно опасен. Пользователи часто действуют быстро, и даже одно подтверждение может дать вредоносному контракту разрешение на опустошение средств.

Схема, выходящая за рамки Uniswap

Последний инцидент вписывается в более широкую тенденцию.

Scam Sniffer ранее сообщал, что пользователь потерял более 1 230 000 $ в NFT Uniswap через поддельный сайт. И в том случае фишинговая страница, по имеющимся данным, скопировала реальный интерфейс и использовала вредоносный поток транзакций для опустошения средств после подтверждения.

PeckShield Alert также предупреждал о поддельной рекламе Aave, появляющейся в результатах поиска Google. Это означает, что проблема не ограничивается одним токеном, одной биржей или одной кампанией. Она затрагивает несколько известных DeFi-брендов.

Исследователи безопасности также указали на клонированные интерфейсы и домены на основе Punycode как на повторяющиеся тактики. Эти поддельные сайты могут выглядеть почти идентично настоящим, особенно в сочетании с платной рекламой и знакомым именем бренда. Для пользователей, действующих быстро, разницу бывает сложно заметить.

Почему это важно для пользователей криптовалют и DeFi-платформ

Эта история касается не только одного фишингового кольца.

Более серьёзная проблема заключается в том, что поисковая реклама по-прежнему остаётся прямым каналом в мошеннические схемы опустошения кошельков. Для криптовалютных платформ это создаёт проблему с брендом и доверием даже тогда, когда их собственные системы не взломаны. Для пользователей это означает, что такие базовые действия, как поиск домашней страницы протокола, могут нести скрытый риск.

Это также помогает объяснить, почему команды безопасности продолжают фокусироваться на подтверждениях, а не только на паролях или сид-фразах. Во многих подобных атаках жертвы не передают приватные ключи. Они авторизуют вредоносные переводы через интерфейсы, созданные так, чтобы выглядеть легитимно.

Это различие важно, поскольку оно меняет то, как происходит кража криптовалюты. Слабым звеном нередко является не само программное обеспечение кошелька, а путь, который пользователи проходят, чтобы добраться до приложения.

Борьба за поиск становится частью криптобезопасности

Последняя кампания с фишингом Uniswap через Google Ads показывает, насколько тесно безопасность в криптовалютной сфере теперь пересекается с видимостью в поиске, размещением рекламы и имитацией брендов.

Привязка b-block к двум кошелькам, хранящим 146 ETH, даёт делу ончейн-якорь, тогда как более широкие данные SEAL указывают на масштабную тенденцию, которая по-прежнему затрагивает пользователей по всей отрасли. Добавьте к этому предупреждения, связанные с Aave, и более ранние потери, связанные с Uniswap, — и послание становится очевидным: для многих злоумышленников охота на жертв начинается задолго до того, как кошелёк подключён.