Uma onda de phishing com anúncios do Google sobre a Uniswap está transformando buscas comuns na web em uma armadilha para usuários de cripto, com links patrocinados falsos levando pessoas a páginas imitadoras quase idênticas que podem drenar carteiras após uma conexão que parece rotineira. O que torna o esquema marcante é o quão pouca engenhosidade técnica ele exige: os atacantes parecem estar comprando visibilidade no topo da Busca do Google e deixando que um site falso convincente faça o resto.
A configuração é simples, e isso é parte do motivo pelo qual funciona. Um usuário pesquisa por Uniswap, clica no que parece ser um resultado patrocinado legítimo e chega a uma interface de negociação clonada, projetada para espelhar a original. A partir daí, o fluxo é familiar o suficiente para que as vítimas acabem assinando permissões que dão aos atacantes controle sobre seus ativos.
Já foram roubados pelo menos US$ 400.000 em cripto, de acordo com o rastreamento ligado a essa campanha. Pesquisadores dizem que os anúncios fazem parte de um esforço mais amplo de malvertising que atingiu usuários de DeFi por meio de anúncios pagos em buscas, em vez de explorações diretas de protocolos.
Summary
Anúncios falsos da Uniswap estão roubando fundos
Essa campanha de phishing usou anúncios falsos do Google se passando pela Uniswap, colocando resultados patrocinados fraudulentos na frente de usuários que estavam ativamente procurando pela plataforma. Em vez de atacar o código ou os sistemas da Uniswap, a operação parece mirar a porta de entrada do uso de cripto: a busca.
Essa distinção é importante. Para muitos usuários, especialmente traders ocasionais, a Busca do Google é como eles chegam às plataformas DeFi em primeiro lugar. Se um anúncio falso aparece acima do resultado real, o golpe pega as pessoas exatamente no momento em que elas estão prontas para conectar uma carteira e fazer uma transação.
Como funciona o golpe de phishing com anúncios do Google sobre a Uniswap
Usuários que clicam no anúncio são enviados para uma interface de negociação clonada que imita de perto o design da Uniswap. A página então os conduz por aquilo que parece ser um fluxo normal de conexão e aprovação de carteira.
O perigo vem na etapa de assinatura. O que parece ser um pedido de permissão padrão pode entregar aos atacantes um acesso amplo, permitindo que eles drenem fundos sem precisar das chaves privadas.
Na prática, o golpe de drenagem de carteira segue um caminho reconhecível:
- Um anúncio falso da Uniswap aparece nos resultados patrocinados da Busca do Google.
- O usuário chega a uma interface falsa, conecta uma carteira e assina permissões.
- Os fundos são então movidos para fora da carteira pouco tempo depois.
Até agora, pelo menos US$ 400.000 em cripto foram roubados na campanha.
Como o ataque está se escondendo à vista de todos
A resistência da operação parece vir de mais do que apenas um design bem acabado. Pesquisadores dizem que a campanha usa técnicas de cloaking para driblar os sistemas de revisão de anúncios do Google, ajudando as páginas maliciosas a parecerem inofensivas durante verificações automatizadas, enquanto expõem usuários reais ao payload de drenagem de carteiras.
Esse é um motivo central pelo qual essa história vai além de um único golpe. Se uma campanha de phishing cripto consegue passar repetidamente pela revisão de anúncios enquanto se passa por uma grande marca de DeFi, isso sugere que a fraqueza não é apenas erro do usuário. Também tem a ver com como a infraestrutura de anúncios pagos pode ser abusada para colocar links fraudulentos em posições de destaque.
Cloaking e posicionamento de anúncios na campanha de phishing
De acordo com as reportagens ligadas ao caso, os atacantes deram lances em termos de busca relacionados à Uniswap para que seus links aparecessem acima dos resultados legítimos. Pesquisadores de segurança dizem que muitos dos sites então dependem de cloaking para evitar a detecção pelos sistemas do Google.
O analista on-chain b-block rastreou a campanha até endereços de carteira vinculados à operação. As carteiras rastreadas detinham coletivamente pelo menos 146 ETH, no valor aproximado de US$ 306.000 na época do rastreamento. As perdas totais confirmadas entre as vítimas ultrapassaram US$ 400.000, embora os saldos das carteiras e o valor total de perdas não sejam apresentados como a mesma métrica.
Esse rastro on-chain dá à campanha um nível de visibilidade incomum para golpes baseados na web. Ele não identifica as pessoas por trás dela, mas mostra como os roubos se conectam por meio da atividade na blockchain.
Por que a campanha está se espalhando
Os anúncios falsos da Uniswap não são um evento isolado. A Security Alliance, também conhecida como SEAL, afirma que o phishing ligado a anúncios da Busca do Google disparou desde março de 2026. O grupo identificou mais de 356 links de anúncios maliciosos, e campanhas relacionadas já chegaram a US$ 1,27 milhão em perdas.
Esse contexto mais amplo é importante porque mostra que isso não é mais apenas um problema pontual de personificação de marca. É um manual repetível: comprar anúncios de busca, imitar uma interface cripto confiável, empurrar usuários a assinar permissões de carteira e então alternar para novos links à medida que os antigos são sinalizados.
O que os pesquisadores dizem sobre a tendência mais ampla
As descobertas da SEAL apontam para um ciclo de malvertising em ritmo acelerado. Domínios maliciosos podem ser trocados rapidamente, o que torna a fiscalização mais difícil e dá aos atacantes espaço para continuar reaparecendo nos resultados de busca.
Stacy Muur, fundadora da Green Dots, foi uma das pessoas que chamaram a atenção publicamente para a campanha depois de encontrar um dos resultados patrocinados fraudulentos na Busca do Google. Isso ajudou a trazer atenção para um golpe que, de outra forma, parece sofisticado o suficiente para se misturar ao comportamento normal de navegação.
A questão maior para a segurança em DeFi é que esse tipo de phishing não depende de quebrar contratos inteligentes ou encontrar bugs em protocolos. Ele se aproveita de confiança, hábito e da mecânica da publicidade online. Para usuários de cripto, isso significa que a ameaça está tanto fora da blockchain quanto dentro dela.
E para grandes plataformas como a Uniswap, a pressão está crescendo em um lugar que elas não controlam totalmente: os resultados de busca onde muitos usuários iniciam sua jornada.
