AI News CryptoTRADE THE NEWS
A hand resting on a computer mouse in front of a
Cripto
Platforms
DeFi
Uniswap

Anuncios falsos de Google sobre Uniswap y un robo de…

El flujo del ataque se basó en aprobaciones de tokens firmadas por el usuario en un front-end clonado, no en el robo de frases semilla o malware.

Por AI News Crypto Editorial Team5 min de lectura

Una campaña de suplantación de Uniswap utilizando anuncios falsos de Google Search supuestamente robó al menos $400,000 de un comerciante después de redirigir a la víctima a una interfaz clonada e inducir aprobaciones de tokens que permitieron retiros. El caso destaca el riesgo de “búsqueda-a-billetera” como un riesgo de entrada que las billeteras de hardware no previenen inherentemente cuando los usuarios firman solicitudes maliciosas.

Puntos Clave

  • UnaUniswapfalsa promovida a través de anuncios de Google Search fue vinculada a un robo supuestamente de al menos $400,000 después de que una víctima aprobó permisos que permitieron retiros.
  • El drenaje descrito no requiriófrases semilla, malware, o cifrado roto porque la víctima firmó las aprobaciones y transacciones.
  • La búsqueda orgánica también es parte de la superficie de amenaza, con envenenamiento de SEO, typosquatting y caracteres similares utilizados para impulsar páginas de phishing en los principales resultados.
  • Billeteras de hardwaremantenerclaves privadasfuera de línea, pero normalmente aún firman solicitudes aprobadas por el usuario incluso cuando la intención es maliciosa.

El anuncio similar a Uniswap de $400,000 que llevó a un drenaje de billetera

Una reciente campaña de suplantación de Uniswap ilustra cuán poco se requiere un "compromiso técnico" para vaciar una billetera cuando la distribución es la ventaja del atacante. En el incidente descrito, los atacantes supuestamente robaron al menos $400,000 de un comerciante después de que una consulta de búsqueda en Google para "Uniswap" mostrara lo que parecía ser un listado patrocinado oficial cerca de la parte superior de la página.

Hacer clic en el anuncio supuestamente redirigió a la víctima a una interfaz clonada similar a Uniswap. Desde allí, el flujo parecía normal: conectar billetera, iniciar acciones rutinarias y otorgar aprobaciones que parecían requeridas para continuar. La pérdida solo se volvió obvia más tarde, cuando esos permisos se utilizaron para retirar fondos directamente de la billetera.

Los detalles clave permanecen no verificados en el paquete. No se proporcionaron hashes de transacción, cadena, tipo de billetera,desglose de activoso fecha exacta para el supuesto robo de $400,000, y la víctima solo se describe como "un comerciante".

Esa incertidumbre importa para la atribución y para mapear el camino exacto en la cadena, pero no cambia el patrón central: este fue un "robo autorizado", donde las propias firmas de la víctima habilitaron el drenaje.

Cómo los resultados de búsqueda se convirtieron en el primer paso en el phishing de DeFi

La búsqueda es tráfico de alta intención. Un usuario que escribe “Uniswap”, “descarga de MetaMask” o “descarga de Ledger Live” ya está en modo de ejecución, lo que hace que la colocación en la parte superior de la página sea inusualmente valiosa para los estafadores.

El paquete enmarca el cambio de manera contundente: “Los resultados de los motores de búsqueda se han convertido silenciosamente en una de las debilidades más subestimadas en la seguridad de las criptomonedas.”Este vector también evade la detección casual de la comunidad porque los resultados de búsqueda son personalizados. La ubicación, el historial de navegación y el tipo de dispositivo pueden cambiar lo que aparece para la misma consulta, por lo que un comerciante puede ver una colocación maliciosa que otro comerciante no puede reproducir.El efecto de segundo orden para los mercados es operativo, no narrativo. Cuando el phishing de puerta principal se escala, aumenta la tasa de fondo de liquidaciones forzadas y flujos de salida de billeteras “misteriosos”, que pueden aparecer como presión de venta ruidosa en lugares en cadena más delgados. El atacante no necesita vencer la criptografía. Solo necesita ganar el clic.

Por qué las billeteras de hardware no detienen las aprobaciones maliciosas firmadas por el usuario.

Las billeteras de hardware son fuertes en un trabajo: mantener las claves privadas fuera de línea. Son débiles en otro: juzgar la intención.

Como dice el paquete, “Una billetera de hardware no puede juzgar de manera confiable si una transacción beneficia al usuario.” Si un front-end clonado presenta una aprobación maliciosa y el usuario la confirma, el dispositivo generalmente firmará y transmitirá lo que se le muestra.El mecanismo suele serun sistema que permite la interacción segura con criptomonedas.

Sin embargo, la falta de comprensión sobre la intención del usuario puede llevar a consecuencias no deseadas.

La educación sobre la seguridad en criptomonedas es crucial para prevenir fraudes.

Los usuarios deben estar siempre alerta ante posibles estafas en línea.aprobaciones de tokens, también llamadas asignaciones. Una aprobación otorga a un smart contract permiso para gastar tokens de una billetera.

En un flujo de phishing, el usuario cree que está aprobando un contrato legítimo para uso rutinario, pero la aprobación puede estar estructurada para dar a un contrato controlado por un atacante la capacidad de transferir activos más tarde. Por eso esta campaña no necesitó frases semilla, malware o cifrado roto. La firma fue la explotación.

Más allá de los enlaces patrocinados: envenenamiento SEO, typosquats y URLs homoglifas

Evitar los links patrocinados es una defensa incompleta. Los mismos destinos de phishing se pueden alcanzar a través de clasificaciones orgánicas manipuladas, incluido el envenenamiento SEO, que el paquete define como “la manipulación deliberada de las clasificaciones de búsqueda orgánica para que las páginas maliciosas aparezcan cerca de la parte superior sin promoción pagada.”

Los atacantes también se apoyan en typosquatting y URLs homoglifas, donde pequeños cambios de ortografía o caracteres similares hacen que un dominio falso pase una revisión rápida. La pregunta a futuro es si los motores de búsqueda endurecen la aplicación de criptomonedas y la verificación de anunciantes, o si esto sigue siendo un juego de golpear a un topo donde las campañas reaparecen bajo nuevas cuentas y dominios.

Señales más inmediatas vendrán del ecosistema mismo: informes adicionales de importantes marcas de DeFi y billeteras siendo suplantadas en búsquedas, publicación de evidencia en cadena para el supuesto caso de $400,000, y un despliegue más amplio de simulación del lado de la billetera o señalización de permisos que advierte sobre asignaciones inusualmente amplias.

La monitorización comunitaria de nuevos dominios typosquat y homoglifos en clasificación, seguida de respuestas rápidas de eliminación y listas negras, probablemente determinará cuán costoso se vuelve este vector.

La opinión de Marcus Hale: Los traders necesitan un manual de 'higiene de navegación', no solo higiene de claves

Trato esto como un problema de distribución disfrazado de un problema de seguridad. La ventaja del atacante es adelantarse a un usuario en el momento exacto en que quiere operar, y luego dejar que el usuario haga el 'compromiso' por sí mismo al firmar una aprobación en una interfaz clonada.

El umbral que importa es si las billeteras y las plataformas de búsqueda comienzan a cerrar la brecha entre la custodia de claves y la intención de transacción. Si la simulación y la señalización de permisos se convierten en el estándar, y si los motores de búsqueda endurecen significativamente la verificación de anunciantes de criptomonedas, la configuración comienza a parecer estructural en lugar de impulsada por narrativas.

Si no, 'buscar-a-billetera' sigue siendo un camino de drenaje escalable porque el punto de fallo ocurre antes de que aparezca siquiera el aviso de la billetera, y ahí es donde está el dinero.

Fuentes