धोखेबाज़ झूठे Uniswap Google विज्ञापनों के माध्यम से $400K चुरा लेते हैं

एक ट्रेडर, जिसे @ika_xbt के नाम से जाना जाता है, ने अपना वॉलेट ऐसी चीज़ से कनेक्ट किया जो अनिस्वैप जैसा दिख रहा था। लेकिन वह अनिस्वैप नहीं था। एक अधिकृत लेनदेन के बाद, कम से कम $400K की राशि, एक गूगल विज्ञापन द्वारा प्रदान किए गए धोखेबाज़ साइट के माध्यम से, तुरंत और अपरिवर्तनीय रूप से उनके पोर्टफोलियो से निकाल ली गई।

धोखाधड़ी बेहद सरल है: "Uniswap" के लिए एक स्पॉन्सर्ड सर्च परिणाम खरीदें, आधिकारिक इंटरफ़ेस को पिक्सल तक कॉपी करें, और फिर कोई अपना वॉलेट कनेक्ट करे इसका इंतज़ार करें। इस मामले में पीड़ित एक क्रिप्टो नवीन नहीं था। वे एक अनुभवी उपयोगकर्ता थे जिन्होंने सिर्फ अपने सर्च परिणामों के शीर्ष पर गलत लिंक पर क्लिक कर दिया।

गूगल विज्ञापनों के बारे में यह बात है: वे ऑर्गेनिक खोज परिणामों के ऊपर स्थित होते हैं। अधिकांश लोगों के लिए, वह ऊपरी लिंक ही वह होता है जिस पर वे बिना सोचे क्लिक करते हैं। धोखेबाज़ इसे जानते हैं, जिसकी वजह से वे कई सालों से लोकप्रिय DeFi प्रोटोकॉल के लिए स्पॉन्सर्ड प्लेसमेंट खरीद रहे हैं।

क्लोन किए गए साइट्स धोखेबाज़ डोमेन का उपयोग करती हैं, जिन्हें कभी-कभी sites.google.com जैसे दिखने वाले वैध इंफ्रास्ट्रक्चर पर होस्ट किया जाता है, जिससे उन्हें अतिरिक्त विश्वसनीयता का आभास मिलता है। वास्तविक Uniswap और नकली संस्करण के बीच यूजर इंटरफेस के अंतर इतने सूक्ष्म हैं कि अनुभवी ट्रेडर्स भी धोखा खा सकते हैं।

जब कोई उपयोगकर्ता अपना वॉलेट कनेक्ट करता है और दुर्भावनापूर्ण साइट पर लेनदेन को स्वीकृत करता है, तो स्मार्ट कॉन्ट्रैक्ट इंटरैक्शन हमलावर को धन निकालने की अनुमति प्रदान करता है। चूंकि ब्लॉकचेन लेनदेन डिजाइन के अनुसार अपरिवर्तनीय होते हैं, इसलिए कोई कस्टमर सर्विस लाइन नहीं होती जिसे कॉल किया जा सके, और न ही कोई चार्जबैक दायर किया जा सकता है।

इस विशिष्ट आक्रमण वैक्टर को इतना खतरनाक बनाता है कि यह उन सुरक्षा उपायों को बाईपास करता है जिनके बारे में कई उपयोगकर्ता सोचते हैं कि वे उन्हें सुरक्षित रख रहे हैं। यहां तक कि हार्डवेयर वॉलेट धारक भी इससे अछूते नहीं हैं। हार्डवेयर वॉलेट ठीक वही करता है जो इसे करना चाहिए: यह उपयोगकर्ता द्वारा स्वीकृत लेनदेन को साइन करता है। समस्या यह है कि उपयोगकर्ता को पहले ही एक हानिकारक लेनदेन को स्वीकृत करने के लिए धोखा दिया गया था।

अनिस्वैप के संस्थापक हेडन एडम्स ने समस्या का जनता के सामने जवाब देने के लिए X पर पोस्ट किया। उनका संदेश उपयोगकर्ताओं के प्रति नहीं, बल्कि खोज मंचों के प्रति था, जिनसे वे आह्वान कर रहे थे कि वे धोखाधड़ी वाले विज्ञापनों को उपयोगकर्ताओं तक पहुँचने से पहले ही रोकने की अधिक जिम्मेदारी लें।

निराशा समझ में आती है। समुदाय के सदस्यों ने वर्षों से इन धोखेबाज़ विज्ञापनों को बार-बार चिह्नित किया है, फिर भी समस्या बनी हुई है। धोखेबाज़ बंद कर दिए जाते हैं, एक नया डोमेन शुरू करते हैं, एक और विज्ञापन खरीदते हैं, और यह चक्र जारी रहता है।

जनवरी 2026 में, क्रिप्टो-संबंधी धोखाधड़ी और दुरुपयोग से कुल नुकसान $370 मिलियन से अधिक था। फ़िशिंग विज्ञापनों को उनमें से कई मामलों में प्राथमिक वेक्टर के रूप में पहचाना गया।

सुरक्षा का बोझ वर्तमान में लगभग पूरी तरह से व्यक्तिगत उपयोगकर्ताओं पर पड़ता है। सुरक्षा विशेषज्ञ अनुशंसा करते हैं कि आप जिन भी DeFi प्रोटोकॉल का नियमित रूप से उपयोग करते हैं, उनके आधिकारिक URL को बुकमार्क कर लें, क्रिप्टो प्लेटफॉर्म के लिए स्पॉन्सर्ड सर्च परिणामों पर कभी क्लिक न करें, और हर लेन-देन की स्वीकृति की पुष्टि सावधानी से करें।