Anúncios falsos do Google imitam Uniswap em golpe de $400…
O fluxo do ataque dependia de aprovações de tokens assinados pelo usuário em um front-end clonado, não de roubo de frase-semente ou malware.
Uma campanha de imitação do Uniswap usando anúncios falsos do Google Search supostamente roubou pelo menos $400.000 de um trader após redirecionar a vítima para uma interface clonada e induzir aprovações de tokens que permitiram retiradas. O caso destaca o "search-to-wallet" como um risco de porta da frente que as carteiras de hardware não previnem inherentemente quando os usuários assinam solicitações maliciosas.
Principais Conclusões
- UmUniswapsimilar promovido através de anúncios do Google Search foi ligado a um suposto roubo de pelo menos $400.000 após uma vítima aprovar permissões que permitiram retiradas.
- O esvaziamento descrito não exigiu frases-semente, malware ou criptografia quebrada porque a vítima assinou as aprovações e transações.
- A busca orgânica também faz parte da superfície de ameaça, com envenenamento de SEO, typosquatting e caracteres semelhantes usados para empurrar páginas de phishing para os principais resultados.
- Carteiras de hardwaremantenhachaves privadasoffline, mas normalmente ainda assinam solicitações aprovadas pelo usuário, mesmo quando a intenção é maliciosa.
O anúncio imitação do Uniswap de $400.000 que levou a um esvaziamento de carteira
Uma recente campanha de imitação do Uniswap ilustra quão pouco "compromisso técnico" é necessário para esvaziar uma carteira quando a distribuição é a vantagem do atacante. No incidente descrito, os atacantes supostamente roubaram pelo menos $400.000 de um trader após uma consulta no Google por "Uniswap" que revelou o que parecia ser uma listagem oficial patrocinada perto do topo da página.
Clicar no anúncio supostamente redirecionou a vítima para uma interface clonada semelhante ao Uniswap. A partir daí, o fluxo parecia normal: conectar a carteira, iniciar ações rotineiras e conceder aprovações que pareciam necessárias para prosseguir. A perda só se tornou óbvia mais tarde, quando essas permissões foram usadas para retirar fundos diretamente da carteira.
Detalhes chave permanecem não verificados no pacote. Nenhum hash de transação, cadeia, tipo de carteira,ativoanálise ou data exata foram fornecidos para o suposto roubo de $400.000, e a vítima é descrita apenas como "um trader." Essa incerteza importa para atribuição e para mapear o caminho exato na cadeia, mas não muda o padrão central: isso foi "roubo autorizado", onde as próprias assinaturas da vítima permitiram o esvaziamento.
Como os Resultados de Busca se Tornaram o Primeiro Passo em Phishing DeFi
A busca é um tráfego de alta intenção. Um usuário digitando “Uniswap”, “download do MetaMask” ou “download do Ledger Live” já está em modo de execução, o que torna a colocação no topo da página incomumente valiosa para golpistas. O pacote descreve a mudança de forma contundente: “Os resultados de mecanismos de busca se tornaram silenciosamente uma das fraquezas mais subestimadas na segurança de cryptocurrency.”
Esse vetor também evita a detecção casual da comunidade porque os resultados de busca são personalizados. A localização, o histórico de navegação e o tipo de dispositivo podem mudar o que aparece para a mesma consulta, então um trader pode ver uma colocação maliciosa que outro trader não consegue reproduzir.
O efeito de segunda ordem para os mercados é operacional, não narrativo. Quando o phishing pela porta da frente escala, ele aumenta a taxa de fundo de liquidations forçadas e saídas de carteiras “misteriosas”, que podem aparecer como pressão de venda ruidosa em locais onchain mais finos. O atacante não precisa vencer a criptografia. Eles só precisam ganhar o clique.
Por que as Carteiras de Hardware Não Impedem Aprovações Maliciosas Assinadas pelo Usuário
As carteiras de hardware são fortes em uma tarefa: manter chaves privadas offline. Elas são fracas em outra: julgar a intenção. Como o pacote coloca, “Uma carteira de hardware não pode julgar de forma confiável se uma transação beneficia o usuário.” Se uma interface clonada apresentar uma aprovação maliciosa e o usuário confirmá-la, o dispositivo normalmente assinará e transmitirá o que lhe é mostrado.
O mecanismo é geralmente aprovações de token, também chamadas de permissões. Uma aprovação concede umacontrato inteligentepermissão para gastar tokens de uma carteira. Em um fluxo de phishing, o usuário acredita que está aprovando um contrato legítimo para uso rotineiro, mas a aprovação pode ser estruturada para dar a um contrato controlado por um atacante a capacidade de transferir ativos posteriormente.
É por isso que esta campanha não precisava de frases-semente, malware ou criptografia quebrada. A assinatura foi a exploração.
Além dos Links Patrocinados: Envenenamento de SEO, Typosquats e URLs Homoglyph
Evitando patrocinadoslinksé uma defesa incompleta. Os mesmos destinos de phishing podem ser alcançados por meio de classificações orgânicas manipuladas, incluindo envenenamento de SEO, que o pacote define como “a manipulação deliberada das classificações de busca orgânica para que páginas maliciosas apareçam perto do topo sem promoção paga.”
Os atacantes também se aproveitam de typosquatting e URLs homoglyph, onde pequenas mudanças de ortografia ou caracteres semelhantes fazem com que um domínio falso passe em uma verificação rápida. A pergunta para o futuro é se os motores de busca irão reforçar a aplicação de anúncios de criptomoedas e a verificação de anunciantes, ou se isso continuará sendo um jogo de whack-a-mole onde campanhas reaparecem sob novas contas e domínios.
Sinais mais imediatos virão do próprio ecossistema: relatórios adicionais de grandes marcas de DeFi e carteiras sendo impersonificadas em buscas, publicação de evidências onchain para o suposto caso de $400.000, e uma implementação mais ampla de simulação do lado da carteira ou sinalização de permissões que alerta sobre concessões incomumente amplas.
O monitoramento da comunidade para novos domínios de typosquat e homoglyph em ascensão, seguido por respostas rápidas de remoção e inclusão em listas negras, provavelmente determinará quão custoso esse vetor se tornará.
A Opinião de Marcus Hale: Os Traders Precisam de um Manual de ‘Higiene de Navegação’, Não Apenas de Higiene de Chaves
Eu trato isso como um problema de distribuição disfarçado de um problema de segurança. A vantagem do atacante é chegar na frente de um usuário no exato momento em que ele quer negociar, e então deixar o usuário fazer a “comprometimento” por conta própria ao assinar uma aprovação em uma interface clonada.
O limiar que importa é se as carteiras e plataformas de busca começam a fechar a lacuna entre a custódia de chaves e a intenção de transação. Se a simulação e a sinalização de permissões se tornarem padrão, e se os motores de busca endurecerem significativamente a verificação de anunciantes de cripto, a configuração começa a parecer estrutural em vez de impulsionada por narrativas.
Caso contrário, “pesquisa-para-carteira” continua sendo um caminho de drenagem escalável porque o ponto de falha acontece antes mesmo do prompt da carteira aparecer, e é aí que está o dinheiro.
