Isang bagong kampanya ng phishing na gumagamit ng mga fake na site ng Uniswap na pinapakita sa pamamagitan ng Google Search ay nakawin ang hindi bababa sa $400,000 mula sa mga hindi nag-aalala na crypto users, na nagpapakita ng patuloy na mahina ang pagsusuri sa pagbebenta ng mga ad. Ano ang nangyari - Ang on-chain analyst na “b-block” ay nagbigay-diin sa isang masasamang website na nagpapakilala bilang Uniswap na nagbawas sa maraming wallet. Dalawang address na kontrolado ng mga attacker na kaugnay sa operasyon ay may kabuuang 146 ETH — halos $306,000 sa panahon ng pagrereport, ayon sa Etherscan snapshots na ibinahagi ng analyst. - Ang web3 marketer na si Stacy Muur (tagapagtatag ng Green Dots) ay nag-post ng mga screenshot na nagpapakita ng isang sponsored na resulta sa Google Search na nagdala sa phishing site at sinira ang Google dahil sa pagkabigo nito na pigilan ang mga katulad na scam na paulit-ulit na nagpapakita ng mga fake link sa itaas ng mga totoong link. Paano gumagana ang scam - Ang mga attacker ay bumibili o hinuhuli ang Google Ads upang ilagay ang mga spoofed na DEX link sa itaas ng mga resulta sa paghahanap, gawing napakakita ito sa mga user na naghahanap ng Uniswap o iba pang protocols. - Ang mga phishing page ay malapit sa perpektong kopya ng mga totoong platform. Kapag nagkonekta ang mga biktima ng kanilang wallet at tinanggap ang isang transaksyon na tila karaniwan, madalas nilang ibinibigay nang walang alam ang walang hanggang pahintulot sa pag-transfer sa mga smart contract. Ang pahintulot na ito ay pinapahintulutan ng mga scammer na tarikan ang pera diretso mula sa wallet ng biktima nang hindi kailangan ng private keys. - Ang mga taktika ay kasama ang Punycode domains, nakatago na iframes at secondary payloads na disenyo upang maiwasan ang automated ad-detection systems — kaya ang mga masasamang page ay maaaring ipakita ang mga totoong URL sa Google habang pinapadala ang trapiko sa pamamagitan ng infrastructure na kontrolado ng mga attacker. Konteksto — hindi ito bago - Ang phishing na dinadala ng Google Ads ay inilahad bilang sanhi ng maraming malalaking pagkawala sa taong ito. Noong Hulyo, sinabi ng Scam Sniffer na isang DeFi user ay nawalan ng higit sa $1.23 milyon sa Uniswap NFTs pagkatapos makipag-ugnayan sa isang fake site na pinapromote sa pamamagitan ng Google Ads. - Ang Security Alliance (SEAL) ay nagsabi na tumindi ang phishing sa pamamagitan ng Google Search ads noong Marso at na-overtake ng mga attacker ang mga legitimate advertiser o kinuha ang mga account ng advertiser upang ilabas ang mga fake link. Ibinigay ng SEAL na binloke nila ang higit sa 356 malicious ad links noong nakaraang taon at inaasahang kinuha ng phishing na kaugnay sa Google ads ang halos $1.27 milyon lamang noong Marso 13–30. - Ang mga blockchain security firms tulad ng DeFiLlama at PeckShield Alert ay paulit-ulit nang nagbabaalala tungkol sa katulad na kampanya, kabilang ang bagong fake Aave ads na nakalagay sa itaas ng mga resulta sa Google. Bakit ito tagumpay - Ang sponsored search results ay tila tiwala, at ang cloned UI + nakakapaniwala URLs ay nagiging madali para sa mga user na mabulok. - Kapag ibinigay na ang pahintulot mula sa konektadong wallet, maaari nang i-execute ng smart contract ang pag-transfer nang walang karagdagang interaksyon, kaya isang tama lang na klik ay maaaring magdulot ng kalamangan. Mga aral para sa mga user at platform - Mga user: i-bookmark ang opisyal DEX addresses, suriin muli ang URLs (tingnan ang Punycode), mabuti pang suriin ang wallet approvals, at gamitin ang mga tool upang i-audit o i-revoke ang sobrang allowances. - Mga platform at ad providers: kailangan ng mas matibay na detection, mas mabilis na takedown, at mas magandang kontrol para pigilan ang mga masasamang actor na bumili ng top ad slots o kompromiso ang mga account ng advertiser. Ipinapakita ng pinakabagong kaso kung paano nananatiling paboritong vector ang sponsored search para sa malawakang crypto phishing — at kung gaano pa karaming trabaho ang kailangan gawin ng mga ad platform at mas malawak na ecosystem upang pigilan ito.
Google Ads-Promoted na Fake na Scam ng Uniswap ay Nagkukulang ng higit sa $400K
ChainGPTI-share
Summary
Isinagawa ang isang alerta sa crypto scam matapos na makuha ng isang phishing campaign na gumagamit ng mga fake na Uniswap site na pinromosyon sa pamamagitan ng Google Ads ang higit sa $400,000. Ipinakita ng on-chain news na mayroon ang dalawang attacker address ng 146 ETH, na may halagang $306,000. Gumagamit ang scam ng spoofed na DEX links at malapit na perpektong kopya upang manlinlang sa mga user na bigyan ng walang hangganang pag-transfer. Gumagamit ang mga attacker ng Punycode domains at nakatago na iframes upang maiwasan ang pagkakatuklas. Nagdulot ang katulad na Google Ads scams ng higit sa $1.27 milyon na pagkawala noong Marso, ayon sa Security Alliance (SEAL).
Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito.
Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.