Usuários de cripto que procuram por Uniswap no Google estão mais uma vez caindo em uma armadilha conhecida. No mais recente caso de anúncios de phishing da Uniswap no Google, links patrocinados falsos teriam ajudado golpistas a roubar pelo menos US$ 400.000 ao direcionar usuários para um site clonado que parecia real o suficiente para conquistar sua confiança.
O que torna este caso marcante é o quão comum a configuração parece. Um usuário procura por uma grande marca DeFi, vê um resultado pago acima do link legítimo, clica, conecta uma carteira e aprova uma transação. Momentos depois, os ativos desapareceram.
Esse padrão se tornou alarmantemente comum em todo o setor cripto. Enquanto isso, pesquisadores de segurança dizem que essa campanha temática da Uniswap faz parte de uma onda mais ampla de anúncios cripto falsos e sites de phishing em buscas do Google que se espalham pelos resultados de pesquisa.
Summary
Anúncios falsos da Uniswap no Google teriam drenado pelo menos US$ 400.000
As perdas relatadas ligadas à campanha falsa da Uniswap chegaram a pelo menos US$ 400.000, de acordo com relatórios on-chain citados por observadores de segurança.
O analista on-chain b-block vinculou a operação a dois endereços de carteira que detinham 146 ETH. O artigo diz que essas carteiras juntas detinham aproximadamente US$ 306.000 na época, com base em dados da Etherscan.
Stacy Muur, fundadora da Green Dots, disse que os anúncios de phishing foram colocados acima dos links legítimos da Uniswap na busca do Google. Ela também compartilhou uma captura de tela mostrando o resultado patrocinado falso, destacando o problema central nesse tipo de configuração de phishing em buscas do Google: o link malicioso pode aparecer antes do verdadeiro.
Isso é importante porque a posição nos resultados de busca muda o comportamento do usuário rapidamente. Em cripto, onde os usuários muitas vezes agem rápido para conectar carteiras, trocar tokens ou perseguir movimentos de mercado, um único clique errado pode transformar uma visita rotineira em um comprometimento total da carteira.
Como funcionou a campanha de phishing
A mecânica era simples, mas eficaz. Relatórios de segurança ligaram a campanha a anúncios patrocinados de busca no Google que imitavam o anúncio oficial da Uniswap. Depois que os usuários clicavam, eram direcionados para uma página de phishing que copiava de perto a interface da Uniswap.
A partir daí, a armadilha seguia para a blockchain.
Os atacantes usaram um contrato inteligente malicioso para enganar as vítimas e fazê-las aprovar transferências ilimitadas de ativos. Uma vez concedida essa aprovação, os golpistas não precisavam de chaves privadas para mover os fundos. A própria aprovação abria a porta.
Na prática, o golpe de drenagem de carteira seguiu uma sequência conhecida:
- Um anúncio patrocinado falso aparece acima do resultado legítimo da Uniswap
- A vítima conecta uma carteira em uma interface clonada e assina uma aprovação
- O contrato malicioso ganha permissões de transferência e drena os ativos
Esse é um dos motivos pelos quais a ameaça de anúncios de phishing da Uniswap no Google é tão eficaz. Ela não depende de invadir uma carteira no sentido tradicional. Em vez disso, abusa da confiança do usuário e do fluxo normal de aprovações embutido em aplicativos descentralizados.
Por que grupos de segurança dizem que a ameaça está crescendo
Grupos de segurança vêm alertando há meses que anúncios cripto falsos não são incidentes isolados. Eles são canais de ataque recorrentes.
A SEAL disse anteriormente que golpes de phishing ligados a anúncios do Google Search roubaram mais de US$ 1,27 milhão apenas entre 13 e 30 de março. A organização também afirmou ter bloqueado mais de 356 links de anúncios maliciosos no último ano.
Essa escala sugere que o problema não é mais apenas de falsificação de marca para um único protocolo. Está se tornando um problema de infraestrutura para a própria descoberta de serviços cripto. Se grandes serviços DeFi estão sendo falsificados justamente onde os usuários os encontram primeiro, nos mecanismos de busca, então a superfície de ataque começa antes mesmo de alguém acessar um app.
A SEAL disse que os atacantes ou compram anúncios do Google diretamente ou comprometem contas legítimas de anunciantes para distribuir links falsos que imitam grandes protocolos e exchanges. O grupo também afirmou que agentes maliciosos frequentemente dão lances mais altos que empresas legítimas, ajudando páginas de phishing a subir ao topo dos resultados patrocinados.
Por que o modelo de Google Ads é tão útil para golpistas
O modelo de Google Ads funciona para os atacantes porque toma emprestada a confiança do próprio mecanismo de busca. Como resultado, os usuários podem presumir que um resultado patrocinado é seguro, especialmente quando usa um nome familiar como Uniswap.
Em cripto, essa lacuna de confiança é especialmente perigosa. Os usuários costumam agir rapidamente, e até uma única aprovação pode dar a um contrato malicioso permissão para drenar fundos.
Um padrão que vai além da Uniswap
O incidente mais recente se encaixa em uma tendência mais ampla.
O Scam Sniffer relatou anteriormente que um usuário perdeu mais de US$ 1,23 milhão em NFTs da Uniswap por meio de um site falso. Nesse caso também, a página de phishing teria copiado a interface real e usado um fluxo de transação malicioso para drenar fundos após a aprovação.
O PeckShield Alert também alertou sobre anúncios falsos da Aave aparecendo nos resultados de busca do Google. Isso significa que o problema não se limita a um único token, uma única exchange ou uma única campanha. Está afetando várias marcas DeFi reconhecíveis.
Pesquisadores de segurança também apontaram interfaces clonadas e domínios em Punycode como táticas recorrentes. Esses sites falsos podem parecer quase idênticos aos reais, especialmente quando combinados com um anúncio pago e um nome de marca familiar. Para usuários que se movem rapidamente, a diferença pode ser difícil de notar.
Por que isso importa para usuários de cripto e plataformas DeFi
Esta história é sobre mais do que um único esquema de phishing.
O problema maior é que a publicidade em buscas continua sendo um funil direto para golpes de drenagem de carteira. Para plataformas cripto, isso cria um problema de marca e confiança mesmo quando seus próprios sistemas não são violados. Para os usuários, significa que ações básicas como buscar a página inicial de um protocolo podem carregar um risco oculto.
Isso também ajuda a explicar por que as equipes de segurança continuam focando em aprovações em vez de apenas senhas ou frases-semente. Em muitos desses ataques, as vítimas não estão entregando chaves privadas. Elas estão autorizando transferências maliciosas por meio de interfaces projetadas para parecer legítimas.
Essa distinção é importante porque muda a forma como o roubo de cripto acontece. O ponto fraco muitas vezes não é o próprio software da carteira, mas o caminho que os usuários percorrem para chegar a um aplicativo.
A batalha na busca está se tornando parte da segurança em cripto
A mais recente campanha de anúncios de phishing da Uniswap no Google mostra o quão de perto a segurança em cripto agora se sobrepõe à visibilidade em buscas, à posição de anúncios e à falsificação de marcas.
A ligação feita por b-block com duas carteiras que detêm 146 ETH dá ao caso um ponto de ancoragem on-chain, enquanto os números mais amplos da SEAL apontam para uma tendência maior que ainda está atingindo usuários em todo o setor. Somando os alertas envolvendo a Aave e perdas anteriores relacionadas à Uniswap, a mensagem é difícil de ignorar: para muitos atacantes, a caça às vítimas começa muito antes de uma carteira ser conectada.
