Seorang pedagang yang dikenali sebagai @ika_xbt menghubungkan dompet mereka kepada laman yang kelihatan seperti Uniswap. Ia bukan Uniswap. Selepas satu transaksi yang diberi kebenaran, sekurang-kurangnya $400K lenyap, segera dan secara tidak boleh dipulihkan daripada portfolio mereka melalui laman penipuan yang disediakan oleh sebuah posting Google.
Penipuan ini sangat mudah: beli keputusan carian disponsori untuk “Uniswap”, salin antaramuka rasmi hingga ke piksel, dan tunggu seseorang menyambungkan dompet mereka. Mangsa dalam kes ini bukanlah pengguna baru kripto. Mereka adalah pengguna berpengalaman yang hanya mengklik pautan yang salah di atas keputusan carian mereka.
Bagaimana penipuan berfungsi
Ini perkara tentang iklan Google: iklan tersebut berada di atas keputusan carian organik. Bagi kebanyakan orang, pautan teratas itulah yang mereka klik tanpa berfikir. Penipu mengetahui ini, yang menjadi sebab mereka telah membeli tempat berbayar untuk protokol DeFi popular selama bertahun-tahun.
Laman web yang disalin menggunakan domain yang menipu, kadang-kadang dihoskan di infrastruktur yang kelihatan sah seperti sites.google.com, yang memberikan kesan kredibiliti tambahan. Perbezaan antara antaramuka Uniswap yang asli dan versi palsu cukup halus untuk menipu pedagang yang berpengalaman sekalipun.
Selepas pengguna menyambungkan dompetnya dan mengesahkan transaksi di laman web jahat, interaksi kontrak pintar memberikan kebenaran kepada penyerang untuk mengosongkan dana. Kerana transaksi blok rantai dirancang untuk tidak boleh dibalikkan, tiada talian perkhidmatan pelanggan untuk dipanggil, tiada permintaan balik yang boleh diajukan.
Apa yang menjadikan vektor serangan khusus ini sangat berbahaya ialah ia melepasi langkah keselamatan yang banyak pengguna percaya melindungi mereka. Pemegang dompet keras pun tidak kebal. Dompet keras melakukan tepat apa yang sepatutnya ia lakukan: ia menandatangani transaksi yang disetujui pengguna. Masalahnya ialah pengguna telah ditipu untuk menyetujui transaksi jahat sejak awal.
Pendiri Uniswap mengkritik platform carian
Hayden Adams, pendiri Uniswap, mengambil tindakan di X untuk membincangkan isu ini secara awam. Pesannya tidak ditujukan kepada pengguna. Ia ditujukan secara tepat kepada platform carian, mendesak mereka untuk mengambil tanggungjawab yang lebih besar dalam mencegah iklan penipuan mencapai pengguna sejak awal.
Kesedihan ini dapat difahami. Ahli komuniti telah menandakan iklan-iklan penipuan ini berulang kali selama bertahun-tahun, namun masalah ini terus berterusan. Penipu ditangkap, membuat domain baru, membeli iklan lain, dan kitaran ini berterusan.
Gambaran yang lebih besar yang semakin memburuk
Pada Januari 2026, penipuan dan eksploitasi berkaitan kripto melebihi $370 juta dalam jumlah kerugian keseluruhan. Iklan phishing dikenal pasti sebagai vektor utama dalam banyak kes tersebut.
Beban perlindungan kini berada hampir sepenuhnya di tangan pengguna individu. Pakar keselamatan merekomendasikan untuk menandai URL rasmi untuk sebarang protokol DeFi yang anda gunakan secara berkala, tidak pernah mengklik keputusan carian yang disponsori untuk platform kripto, dan memeriksa dengan teliti setiap persetujuan transaksi sebelum menandatangani.