Google 廣告推廣的假冒 Uniswap 騙局盜取超過 40 萬美元

一場利用假冒 Uniswap 網站並透過 Google 搜尋廣告進行的新型釣魚活動，已從不知情的加密貨幣用戶手中竊取至少 40 萬美元，凸顯了搜尋廣告監管持續存在的弱點。 事件經過 - 鏈上分析師 “b-block” 檢測到一個假冒 Uniswap 的惡意網站，該網站盜取了多個錢包的資金。根據分析師分享的 Etherscan 快照，與此活動相關的兩個攻擊者控制地址合計持有 146 ETH，按報告時的價格約為 306,000 美元。 - Web3 市場推廣人員 Stacy Muur（Green Dots 創辦人）發布了截圖，顯示一個由 Google 搜尋廣告推廣的釣魚網站，並譴責 Google 未能阻止此類騙局反覆將假連結置於真實連結之上。 詐騙運作方式 - 攻擊者購買或劫持 Google 廣告，將偽造的 DEX 連結置於搜尋結果頂部，使其在用戶搜尋 Uniswap 或其他協議時極為顯眼。 - 釣魚頁面幾乎完美複製了合法平台的介面。當受害者連接錢包並批准看似常規的交易時，往往會無意中授予智能合約無限轉帳權限。此權限允許詐騙者直接從受害者的錢包中提走資金，而無需私鑰。 - 常用手法包括 Punycode 域名、隱藏 iframe 及二次載荷，以繞過自動化廣告檢測系統——這意味著惡意頁面在 Google 眼中顯示為看似合法的網址，但實際流量會被導向攻擊者控制的基礎設施。 背景——這並非新現象 - 今年已有多起重大損失與 Google 廣告驅動的釣魚活動有關。7 月，Scam Sniffer 報告一名 DeFi 用戶在與透過 Google 廣告推廣的假冒網站互動後，損失超過 123 萬美元的 Uniswap NFT。 - Security Alliance（SEAL）表示，3 月以來透過 Google 搜尋廣告進行的釣魚活動急增，攻擊者或以高價競標超越合法廣告商，或入侵廣告商帳戶發布假連結。SEAL 報告過去一年已封鎖超過 356 個惡意廣告連結，並估計僅在 3 月 13 日至 30 日之間，與 Google 廣告相關的釣魚活動就竊取了約 127 萬美元。 - Blockchain 安全公司如 DeFiLlama 和 PeckShield Alert 已多次警告類似活動，包括近期出現在 Google 搜尋結果頂部的假冒 Aave 廣告。 成功原因 - 贊助搜尋結果看起來可信，加上複製的使用者介面與具說服力的網址，使用戶極易受騙。 - 一旦連接錢包授予批准，智能合約即可在無需進一步互動的情況下執行轉帳，因此一次錯誤點擊即可造成災難性損失。 對用戶與平台的建議 - 用戶：收藏官方 DEX 地址，雙重核對網址（留意 Punycode），仔細審查錢包授權，並使用工具審計或撤銷過度授權。 - 平台與廣告提供商：安全團隊與廣告平台需加強偵測機制、加快下架速度，並實施更嚴格的管控措施，以防止惡意行為者購買頂級廣告位或入侵廣告商帳戶。 此最新案例再次凸顯贊助搜尋仍是大規模加密貨幣釣魚的主要途徑，而廣告平台與整個生態系統仍需付出大量努力才能有效遏制此類攻擊。