Google Ads - Quảng bá trò lừa đảo Uniswap giả mạo đánh cắp hơn 400.000 USD

Một chiến dịch lừa đảo mới sử dụng các trang web giả mạo Uniswap được quảng bá thông qua Google Search đã đánh cắp ít nhất 400.000 USD từ người dùng tiền điện tử không hề hay biết, làm nổi bật điểm yếu dai dẳng trong việc kiểm soát quảng cáo tìm kiếm. Đã xảy ra gì? - Nhà phân tích trên blockchain “b-block” đã phát hiện một trang web độc hại giả mạo Uniswap đã rút tiền từ nhiều ví. Hai địa chỉ do kẻ tấn công kiểm soát, liên quan đến chiến dịch này, cùng sở hữu 146 ETH — tương đương khoảng 306.000 USD tại thời điểm báo cáo, theo các bản ghi Etherscan do nhà phân tích chia sẻ. - Nhà tiếp thị Web3 Stacy Muur (người sáng lập Green Dots) đã đăng ảnh chụp màn hình cho thấy một kết quả tìm kiếm được tài trợ trên Google dẫn đến trang lừa đảo, đồng thời chỉ trích Google vì không ngăn chặn được các vụ lừa đảo tương tự liên tục đẩy các liên kết giả lên trên các liên kết chính thống. Cách thức hoạt động của vụ lừa đảo: - Kẻ tấn công mua hoặc chiếm quyền kiểm soát Google Ads để đặt các liên kết DEX giả mạo ở đầu kết quả tìm kiếm, khiến chúng trở nên cực kỳ nổi bật với người dùng đang tìm kiếm Uniswap hoặc các giao thức khác. - Các trang lừa đảo là bản sao gần như hoàn hảo của các nền tảng hợp pháp. Khi nạn nhân kết nối ví và đồng ý một giao dịch trông giống như bình thường, họ thường vô tình cấp quyền chuyển nhượng không giới hạn cho hợp đồng thông minh. Quyền này cho phép kẻ lừa đảo rút tiền trực tiếp từ ví của nạn nhân mà không cần khóa riêng tư. - Các thủ thuật bao gồm miền Punycode, iframe ẩn và các tải trọng phụ được thiết kế để tránh các hệ thống phát hiện quảng cáo tự động — nghĩa là các trang độc hại có thể hiển thị các URL trông hợp lệ với Google trong khi định tuyến lưu lượng truy cập qua cơ sở hạ tầng do kẻ tấn công kiểm soát. Bối cảnh — đây không phải là mới - Lừa đảo thông qua Google Ads đã bị buộc tội gây ra nhiều tổn thất lớn trong năm nay. Vào tháng Bảy, Scam Sniffer báo cáo một người dùng DeFi đã mất hơn 1,23 triệu USD trong NFT Uniswap sau khi tương tác với một trang web giả được quảng bá thông qua Google Ads. - Security Alliance (SEAL) cho biết lừa đảo thông qua quảng cáo tìm kiếm của Google đã tăng mạnh vào tháng Ba, và kẻ tấn công ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли ли liệu có thể vượt mặt các nhà quảng cáo hợp pháp hoặc xâm nhập vào tài khoản nhà quảng cáo để đăng các liên kết giả. SEAL báo cáo đã chặn hơn 356 liên kết quảng cáo độc hại trong năm qua và ước tính riêng trong giai đoạn từ ngày 13 đến ngày 30 tháng Ba, lừa đảo liên quan đến Google Ads đã đánh cắp khoảng 1,27 triệu USD. - Các công ty bảo mật blockchain như DeFiLlama và PeckShield Alert đã nhiều lần cảnh báo về các chiến dịch tương tự, bao gồm cả quảng cáo giả mạo Aave gần đây xuất hiện ở đầu kết quả tìm kiếm của Google. Tại sao nó thành công: - Kết quả tìm kiếm được tài trợ trông đáng tin cậy, và giao diện bị sao chép cùng URL thuyết phục khiến người dùng dễ bị lừa. - Một khi đã cấp quyền từ ví đã kết nối, hợp đồng thông minh có thể thực hiện chuyển tiền mà không cần tương tác thêm, do đó chỉ một cú nhấp nhầm cũng có thể gây hậu quả nghiêm trọng. Bài học cho người dùng và nền tảng: - Người dùng: đánh dấu trang các địa chỉ DEX chính thống, kiểm tra kỹ URL (chú ý Punycode), xem xét cẩn thận các quyền được cấp trên ví, và sử dụng các công cụ để kiểm tra hoặc thu hồi các quyền quá mức. - Nền tảng và nhà cung cấp quảng cáo: các đội ngũ bảo mật và nền tảng quảng cáo cần cơ chế phát hiện mạnh mẽ hơn, gỡ bỏ nhanh hơn và kiểm soát tốt hơn để ngăn chặn các bên độc hại mua vị trí quảng cáo hàng đầu hoặc xâm nhập vào tài khoản nhà quảng cáo. Vụ việc mới nhất này nhấn mạnh rằng tìm kiếm được tài trợ vẫn là phương tiện ưa thích cho các chiến dịch lừa đảo tiền điện tử quy mô lớn — và vẫn còn rất nhiều việc cần làm từ phía các nền tảng quảng cáo và toàn bộ hệ sinh thái để ngăn chặn nó.