Des fausses pubs Google sur Uniswap liées à un vol de 400…
Le flux d'attaque reposait sur des approbations de jetons signées par l'utilisateur sur un front-end cloné, et non sur le vol de phrase de récupération ou de logiciels malveillants.
Une campagne d'imitation de Uniswap utilisant de fausses annonces Google Search aurait volé au moins 400 000 $ à un trader après avoir redirigé la victime vers une interface clonée et induit des approbations de jetons qui ont permis des retraits.
L'affaire met en lumière le risque "search-to-wallet" comme une porte d'entrée que les portefeuilles matériels ne préviennent pas intrinsèquement lorsque les utilisateurs signent des demandes malveillantes.
Points clés
- UnUniswapimitation promue via des annonces Google Search a été liée à un vol présumé d'au moins 400 000 $ après qu'une victime a approuvé des autorisations qui ont permis des retraits.
- Le drain décrit n'a pas nécessité dephrases de récupération, de logiciels malveillants ou de cryptage cassé car la victime a signé les approbations et les transactions.
- La recherche organique fait également partie de la surface de menace, avec le poisoning SEO, le typosquatting et des caractères similaires utilisés pour pousser des pages de phishing dans les meilleurs résultats.
- Les portefeuilles matérielsconservezles clés privéeshors ligne, mais elles signent généralement des demandes approuvées par l'utilisateur même lorsque l'intention est malveillante.
La publicité de 400 000 $ ressemblant à Uniswap qui a conduit à un drain de portefeuille
Une récente campagne d'usurpation d'identité d'Uniswap illustre à quel point peu de « compromis technique » est nécessaire pour vider un portefeuille lorsque la distribution est l'avantage de l'attaquant. Dans l'incident décrit, des attaquants auraient volé au moins 400 000 $ à un trader après qu'une recherche Google pour « Uniswap » ait fait apparaître ce qui semblait être une annonce sponsorisée officielle en haut de la page.
Cliquer sur la publicité aurait redirigé la victime vers une interface clonée ressemblant à Uniswap. De là, le flux semblait normal : connecter le portefeuille, initier des actions de routine et accorder des autorisations qui semblaient nécessaires pour continuer. La perte n'est devenue évidente que plus tard, lorsque ces autorisations ont été utilisées pour retirer des fonds directement du portefeuille.
Des détails clés restent non vérifiés dans le paquet. Aucun hachage de transaction, chaîne, type de portefeuille,répartition d'actifsou date exacte n'ont été fournis pour le vol présumé de 400 000 $, et la victime n'est décrite que comme « un trader ».
Cette incertitude est importante pour l'attribution et pour cartographier le chemin exact sur la chaîne, mais cela ne change pas le schéma de base : il s'agissait d'un « vol autorisé », où les propres signatures de la victime ont permis le drain.
Comment les résultats de recherche sont devenus la première étape dans le phishing DeFi
La recherche est un trafic à haute intention. Un utilisateur tapant "Uniswap", "téléchargement de MetaMask" ou "téléchargement de Ledger Live" est déjà en mode exécution, ce qui rend le placement en haut de la page particulièrement précieux pour les escrocs. Le paquet présente le changement de manière franche : "Les résultats des moteurs de recherche sont devenus discrètement l'une des faiblesses les plus sous-estimées danscryptomonnaiesécurité.”
Ce vecteur échappe également à la détection communautaire occasionnelle car les résultats de recherche sont personnalisés. La localisation, l'historique de navigation et le type d'appareil peuvent modifier ce qui apparaît pour la même requête, de sorte qu'un trader peut voir un placement malveillant qu'un autre trader ne peut pas reproduire.
L'effet de second ordre pour les marchés est opérationnel, pas narratif. Lorsque le phishing par porte d'entrée se développe, il augmente le taux de fond des forçages.liquidationset des sorties de portefeuille "mystérieuses", qui peuvent se manifester comme une pression de vente bruyante dans des lieux onchain moins liquides. L'attaquant n'a pas besoin de battre la cryptographie. Il lui suffit de gagner le clic.
Pourquoi les portefeuilles matériels ne bloquent pas les approbations malveillantes signées par l'utilisateur
Les portefeuilles matériels sont performants dans un domaine : garder les clés privées hors ligne. Ils sont faibles dans un autre : juger de l'intention. Comme le dit le paquet, « Un portefeuille matériel ne peut pas juger de manière fiable si une transaction bénéficie à l'utilisateur.
» Si un front-end cloné présente une approbation malveillante et que l'utilisateur la confirme, l'appareil signera et diffusera généralement ce qu'il lui est montré.
Le mécanisme est généralementapprobations de jetons, également appelées allocations. Une approbation accorde à un contrat intelligent la permission de dépenser des jetons d'un portefeuille. Dans un flux de phishing, l'utilisateur croit qu'il approuve un contrat légitime pour un usage courant, mais l'approbation peut être structurée pour donner à un contrat contrôlé par un attaquant la capacité de transférer des actifs plus tard.
C'est pourquoi cette campagne n'avait pas besoin de phrases de récupération, de logiciels malveillants ou de cryptage cassé. La signature était l'exploitation.
Au-delà des liens sponsorisés : empoisonnement SEO, typosquats et URLs homoglyphes
Éviter les liens sponsorisés est une défense incomplète. Les mêmes destinations de phishing peuvent être atteintes par le biais de classements organiques manipulés, y compris l'empoisonnement SEO, que le paquet définit comme « la manipulation délibérée des classements de recherche organiques afin que des pages malveillantes apparaissent près du sommet sans promotion payante. »
Les attaquants s'appuient également sur le typosquatting et les URLs homoglyphes, où de petites modifications d'orthographe ou des caractères similaires permettent à un domaine fictif de passer un contrôle rapide.
La question prospective est de savoir si les moteurs de recherche resserrent l'application des règles sur les crypto-médias et la vérification des annonceurs, ou si cela reste un jeu de whack-a-mole où les campagnes réapparaissent sous de nouveaux comptes et domaines.
Des signaux plus immédiats viendront de l'écosystème lui-même : des rapports supplémentaires sur des marques majeures de DeFi et de portefeuilles étant usurpées dans les recherches, publication de preuves on-chain pour le prétendu cas de 400 000 $, et déploiement plus large de simulations côté portefeuille ou de signalement de permissions qui avertissent sur des allocations exceptionnellement larges.
La surveillance communautaire pour les nouveaux domaines de typosquat et homoglyphes classés, suivie de réponses rapides de retrait et de liste noire, déterminera probablement à quel point ce vecteur devient coûteux.
L'avis de Marcus Hale : Les traders ont besoin d'un manuel de 'navigation hygiénique', pas seulement d'une hygiène des clés
Je considère cela comme un problème de distribution déguisé en problème de sécurité. L'avantage de l'attaquant est de se retrouver devant un utilisateur au moment exact où il souhaite trader, puis de laisser l'utilisateur faire le 'compromis' lui-même en signant une approbation sur une interface utilisateur clonée.
Le seuil qui compte est de savoir si les portefeuilles et les plateformes de recherche commencent à réduire l'écart entre la garde des clés et l'intention de transaction. Si la simulation et le marquage des autorisations deviennent la norme, et si les moteurs de recherche renforcent de manière significative la vérification des annonceurs crypto, la configuration commence à sembler structurelle plutôt que dictée par le récit.
Sinon, 'recherche-vers-portefeuille' reste un chemin d'évacuation évolutif parce que le point de défaillance se produit avant même que l'invite du portefeuille n'apparaisse, et c'est là que se trouve l'argent.
