Fake Uniswap Ads On Google Net $400k For Scammers

Les escrocs ont armé les annonces de recherche Google pour usurper l'identité d'Uniswap, siphonnant des fonds d'utilisateurs de crypto non avertis. Des observateurs sur la chaîne affirment que le schéma de phishing lié à une usurpation d'Uniswap a déjà rapporté aux attaquants au moins 400 000 $, avec deux portefeuilles marqués détenant un total de 146 ETH (environ 306 000 $ à l'époque), selon Etherscan.

Stacy Muur, fondatrice de l'agence de marketing Web3 Green Dots, a décrit la tactique comme une annonce frauduleuse sponsorisée par Google qui se fait passer pour Uniswap. Elle a partagé une capture d'écran d'un résultat sponsorisé et a déploré que Google ait effectivement permis à de telles campagnes de proliférer, menant les utilisateurs vers des pages contrefaites qui siphonnent leurs fonds.

Les analystes et les chercheurs ont longtemps averti que les annonces Google peuvent devenir un terrain fertile pour le phishing dans la crypto. DeFiLlama a noté que les fausses annonces sur Google sont une source commune d'attaques de phishing, et la Security Alliance (SEAL) a signalé une augmentation notable en mars. SEAL a expliqué que les attaquants peuvent payer Google directement ou détourner des comptes d'annonceurs légitimes pour diffuser des annonces convaincantes qui imitent des protocoles crypto populaires, visant à sécuriser des positions de premier plan dans la section des « résultats sponsorisés » et à surpasser les échanges légitimes.

La surveillance de SEAL souligne un schéma persistant : les campagnes publicitaires surenchérissent sur les marques crypto authentiques pour atteindre les utilisateurs à des moments de haute intention. Dans son rapport, le groupe a déclaré avoir bloqué plus de 356 liens publicitaires malveillants sur une période qui indique que l'activité des attaquants a continué pendant plus d'un an, avec un flux constant de rapports d'utilisateurs affectés. L'essentiel est que la campagne ne ralentit pas, et les utilisateurs doivent anticiper davantage de tentatives de phishing agressives dans l'environnement de recherche Google.

Le flux de phishing, selon SEAL, repose sur des URL apparemment légitimes qui contournent les vérifications automatisées, associées à une iframe secondaire cachée qui charge le payload malveillant. Les victimes sont redirigées vers des clones qui ressemblent à de vraies applications crypto, tandis que tout le trafic réseau est canalisé à travers des serveurs contrôlés par les attaquants. La chronologie de SEAL montre qu'entre le 13 mars et le 30 mars, environ 1,27 million de dollars ont été volés à travers des campagnes connexes.

La communauté crypto-sécurité plus large note que ces incidents s'inscrivent dans une tendance plus large. Début mai, des rapports ont émergé indiquant que des attaquants abusaient des annonces Google et des chats partagés légitimes provenant de services de chat IA dans des campagnes de malvertising ciblant les utilisateurs de Mac. Séparément, Malwarebytes a souligné une menace distincte sur Facebook, où des annonces payantes imitaient des promotions officielles de Windows pour voler des mots de passe et des portefeuilles crypto, illustrant comment les escrocs exploitent régulièrement des plateformes grand public pour atteindre les détenteurs de crypto.

Points clés à retenir

  • Les annonces de phishing imitant Uniswap sur Google ont siphonné au moins 400 000 $ de portefeuilles, avec deux portefeuilles contenant 146 ETH (~306 000 $) à la valorisation proxy.

  • Les chercheurs décrivent des annonces qui usurpent des protocoles populaires visant à obtenir un emplacement de premier plan dans les résultats sponsorisés de Google, souvent en détournant des comptes d'annonceurs ou en payant Google directement.

  • SEAL signale une menace persistante et de haute volée : des centaines d'annonces Google malveillantes bloquées (plus de 356), indiquant une activité continue des attaquants depuis plus d'un an.

  • La chaîne d'attaque repose sur des URL ayant l'apparence légitime et des iframes cachées qui chargent le payload malveillant, dirigeant les victimes vers des clones presque parfaits des vraies applications crypto.

  • Les estimations montrent qu'environ 1,27 million de dollars ont été volés dans une fenêtre du 13 au 30 mars durant ces campagnes, soulignant l'ampleur du vol crypto entraîné par le malvertising.

Mécanismes, échelle et implications pour les utilisateurs

Au cœur de l'imitation d'Uniswap se trouvent des résultats de recherche sponsorisés trompeurs qui apparaissent au-dessus des liens authentiques. En mettant en avant des pages convaincantes, semblables à des marques crypto, les attaquants attirent les utilisateurs qui cliquent pour accéder à une interface contrefaite qui imite le vrai protocole. Une fois que les utilisateurs saisissent leurs identifiants ou approuvent des transactions, les fonds sont dirigés vers des portefeuilles contrôlés par les attaquants plutôt que vers le contrat intelligent prévu ou l'adresse de portefeuille. La technique s'appuie souvent sur des URL ayant l'apparence légitime pour passer à travers le filtrage automatisé, avec une iframe cachée transportant le payload malveillant, rendant la détection plus difficile tant pour les utilisateurs que pour certaines défenses automatisées.

L'impact immédiat est tangible : une somme notable de fonds volés liée à une seule opération de phishing, concentrée dans un petit nombre de portefeuilles, et un schéma plus large d'incidents répétés à travers différentes plateformes. Les deux portefeuilles contenant 146 ETH—évalués à environ 306 000 $ au moment du rapport—illustrent à quelle vitesse un effort de phishing ciblé peut consolider des gains. Bien que la distribution exacte des pertes à travers les campagnes varie, les tableaux de bord publics et les données on-chain mettent en évidence le risque matériel pour les individus qui comptent sur des marques familières et des résultats de recherche rapides pour naviguer dans le DeFi.

Les chercheurs soulignent que ce n'est pas un incident isolé. Le groupe d'analytique DeFi DeFiLlama a observé que les annonces contrefaites sur Google sont une voie récurrente pour le phishing, et l'activité trimestrielle de SEAL suggère une course aux armements continue entre les attaquants et les défenses des plateformes. Les données du groupe soulignent également un décalage entre l'intention des utilisateurs et les protections des plateformes : des annonces très ciblées semblent suffisamment légitimes pour attirer des clics d'utilisateurs qui recherchent des services crypto légitimes, créant un vecteur de menace furtif qui prospère sur la reconnaissance de marque et la proximité des services réels.

Contexte plus large : phishing basé sur des annonces à travers les plateformes

Au-delà de Google, l'écosystème a vu des préoccupations parallèles concernant le malvertising et l'usurpation de marque. En mai, des rapports ont lié l'abus de Google Ads à des campagnes plus larges qui ont exploité des outils de chat IA comme Claude pour propager des malwares vers des appareils Mac, signalant un risque à l'échelle de l'écosystème dû à des abus inter-plateformes. Pendant ce temps, des chercheurs en cybersécurité ont signalé des annonces sociales payantes—surtout sur Facebook—qui imitent des promotions logicielles officielles pour tromper les utilisateurs en leur faisant télécharger des malwares ou exposer leurs identifiants crypto. Ces schémas renforcent un point unique pour les utilisateurs et les bâtisseurs : la surface d'attaque des écosystèmes crypto s'étend au-delà des exploits on-chain vers les canaux mêmes que les gens utilisent pour découvrir et interagir avec des services.

Les observateurs de l'industrie soulignent que bien que les plateformes technologiques puissent renforcer la vérification et le filtrage des annonces, les attaquants s'adaptent rapidement. Pour les utilisateurs, l'essentiel est de garder un esprit critique sur les résultats sponsorisés, de vérifier l'URL exacte et de naviguer vers les sites de protocoles via des favoris ou des app stores vérifiés plutôt que simplement à travers les résultats de recherche. Pour les projets et les plateformes publicitaires, le défi est d'élever la barre pour les annonces frauduleuses sans étouffer la découverte légitime dans un écosystème en rapide évolution.

Les conversations au sein de la communauté soulignent également la nécessité d'une meilleure attribution et d'éducation. Bien que les données on-chain puissent révéler où circulent les fonds, corréler cela avec des campagnes de phishing nécessite une collaboration inter-plateforme et un reporting d'incidents en temps opportun. Les fils publics et les rapports des chercheurs—comme ceux sur X par b-block et les commentaires d'observateurs de l'industrie—jouent un rôle crucial dans la sensibilisation, même si l'échelle des pertes continue d'évoluer.

Alors que l'écosystème absorbe ces développements, les investisseurs et les utilisateurs devraient surveiller les conseils continus des groupes de sécurité et des entreprises d'analytique. La question centrale demeure : les opérateurs de plateforme et les régulateurs mettront-ils en œuvre des mesures de vérification des annonces plus robustes pour freiner l'usurpation malveillante, ou les attaquants continueront-ils à affiner leurs méthodes pour rester toujours un pas devant ?

À surveiller ensuite : attendez-vous à une surveillance continue de la gestion par les plateformes publicitaires du contenu sponsorisé lié à la crypto, ainsi qu'à des rapports continus d'analystes sur l'efficacité des mesures d'atténuation. Les utilisateurs doivent pratiquer la diligence raisonnable—confirmer les URL par navigation directe, désactiver le remplissage automatique sur des pages inconnues, et utiliser des portefeuilles matériels ou des approbations basées sur des sessions lorsque cela est possible. La convergence du risque on-chain et du phishing off-chain souligne une leçon plus large pour le marché : la sécurité doit être intégrée à chaque point de contact, et ne pas être laissée comme une réflexion après coup.

Liens sources et attributions : analyse on-chain par b-block (post X), observations de Stacy Muur (post X), notes de DeFiLlama sur les fausses annonces, rapports de phishing et données d'incidents de SEAL, et couverture connexe sur l'activité de malvertising à travers Google Ads et les plateformes sociales.

La prochaine phase dépendra probablement de la rapidité avec laquelle les plateformes s'adaptent à ces tactiques et de l'efficacité avec laquelle les utilisateurs adoptent des pratiques de découverte et d'authentification plus sûres dans un paysage de phishing croissant et de plus en plus sophistiqué.

Cet article a été publié à l'origine comme des annonces Uniswap factices sur Google, drainant 400K $ pour les escrocs sur Crypto Breaking News – votre source fiable pour les nouvelles crypto, les nouvelles Bitcoin et les mises à jour blockchain.

#ETH