Tautan Uniswap Palsu Muncul di Puncak Pencarian Google — $400,000 Sudah Hilang

Jika kamu mencari Uniswap di Google hari ini, kemungkinan hasil pertama yang kamu lihat adalah penipuan. Penyerang menjalankan kampanye phishing yang canggih melalui sistem iklan berbayar Google — menempatkan tautan Uniswap palsu di atas situs resmi protokol yang sebenarnya dan menguras dompet siapa pun yang terhubung ke mereka.
Setidaknya $400,000 telah dicuri dari dua alamat penyerang yang teridentifikasi dalam kampanye saat ini, menurut analitik on-chain yang ditandai oleh beberapa peneliti keamanan di X.
Gambaran yang lebih luas jauh lebih buruk. SEAL — Aliansi Keamanan, salah satu organisasi intelijen ancaman DeFi yang paling aktif — melaporkan bahwa kampanye ini telah berjalan selama lebih dari setahun. Di bulan Maret saja, iklan phishing jenis ini mencuri $1.27 juta dalam dua minggu, dengan SEAL memblokir lebih dari 356 tautan berbahaya selama periode itu. Google sudah menyadari masalah ini sejak lama. Iklan terus berjalan.
Bagaimana Serangan Bekerja
Mekanismenya tidak teknis yang canggih — itulah sebabnya ia terus bekerja. Penyerang membeli slot iklan Google untuk istilah pencarian crypto dengan lalu lintas tinggi seperti “Uniswap,” “Aave,” atau “MetaMask.” Salinan iklan dan halaman landing dirancang agar secara visual tidak dapat dibedakan dari protokol yang nyata. Sistem iklan Google menempatkan hasil yang disponsori di atas hasil pencarian organik — artinya situs palsu muncul sebelum yang sah bagi siapa pun yang mencari tanpa sudah mengetahui URL yang benar.
Halaman landing itu sendiri menggunakan beberapa lapisan obfuscation untuk menghindari deteksi. Halaman yang disamarkan menunjukkan konten yang berbeda kepada peninjau iklan Google dibandingkan dengan pengunjung yang sebenarnya. Iframe tersembunyi memuat kode berbahaya setelah halaman awal lolos pemeriksaan keamanan otomatis. Kontrak drainer yang canggih disematkan untuk mengeksekusi transaksi tidak sah begitu seorang pengguna menghubungkan dompetnya — seringkali sebelum mereka menyadari ada yang tidak beres.
Hasilnya adalah jalur pipa yang mengubah trafik pencarian Google menjadi dana yang dicuri dengan barrier teknis minimal. Setiap pengguna DeFi yang tidak tahu untuk melewati hasil yang disponsori dan langsung menuju URL resmi adalah potensi korban — dan bahkan pengguna berpengalaman pun terjebak.
Peneliti keamanan di X telah menandai instance individu dari kampanye ini selama berbulan-bulan. Respon komunitas semakin frustrasi. Seperti yang diungkapkan oleh salah satu peneliti:
“Sangat gila bahwa Google telah mengabaikan masalah ini selama bertahun-tahun sementara tautan palsu terus didorong di atas yang nyata dan pengguna terus dikuras.”
Alat yang Sebenarnya Melindungi Anda
Dua sumber telah muncul sebagai pertahanan paling praktis terhadap vektor serangan spesifik ini.
Yang pertama adalah alat LlamaSearch dari DefiLlama, yang dibangun khusus untuk mengatasi masalah iklan palsu. DefiLlama menanggapi langsung peringatan phishing Uniswap di X, mencatat:
“Iklan palsu di Google adalah sumber umum dari serangan phishing. Kami membangun LlamaSearch untuk mengatasi masalah ini. Ini memiliki ribuan domain crypto yang sudah diverifikasi.”
LlamaSearch memungkinkan pengguna untuk memverifikasi apakah URL cocok dengan domain sah untuk protokol yang diberikan sebelum menghubungkan dompet — sebagai kontra langsung terhadap spoofing visual yang membuat halaman phishing sangat efektif.
Yang kedua adalah melakukan cross-referencing setiap tautan dengan akun resmi X dari protokol atau saluran komunitas terverifikasi sebelum berinteraksi. Protokol yang sah mempertahankan domain resminya di bio X dan postingan yang dipin. Jika URL dari hasil pencarian tidak cocok dengan domain yang terdaftar di kehadiran sosial resmi protokol, itu tidak boleh dipercaya.
Aturan komunitas keamanan untuk vektor ancaman ini telah konsisten selama bertahun-tahun: jangan pernah klik iklan crypto yang disponsori. Hasil organik teratas hampir selalu lebih aman daripada hasil disponsori teratas untuk protokol DeFi besar mana pun — dan ketika ragu, ketik URL langsung daripada menggunakan mesin pencari sebagai perantara.
Masalah yang Dipilih Tidak Diselesaikan oleh Google
Aspek paling tidak nyaman dari kampanye ini bukanlah kecanggihan teknis para penyerang. Ini adalah ketidakaktifan Google yang berkelanjutan di tengah kerugian yang terdokumentasi dan terus berlanjut bagi penggunanya.
Data SEAL menunjukkan bahwa ini bukan masalah baru. Kampanye ini telah aktif selama lebih dari setahun. Angka Maret — $1,27 juta dicuri, 356 tautan berbahaya diblokir dalam dua minggu — mewakili ancaman yang diketahui, terukur, dan terus berlanjut yang terus didukung oleh sistem iklan Google. Penyerang telah menyempurnakan teknik penghindaran mereka khusus untuk melewati proses tinjauan iklan Google, menggunakan halaman yang disamarkan dan pengiriman konten yang dipentaskan untuk menunjukkan halaman bersih kepada peninjau sementara melayani kode berbahaya kepada pengguna yang sebenarnya.
Model pendapatan iklan Google menciptakan masalah insentif struktural di sini. Slot iklan terkait crypto adalah penempatan bernilai tinggi — penyerang mengalahkan proyek sah untuk posisi premium khusus karena pengembalian investasi dari penjarahan dompet yang sukses melebihi biaya iklan. Google mengumpulkan pendapatan dari pengiklan yang sah dan berbahaya, tanpa mekanisme yang mencabut biaya ketika iklan kemudian diidentifikasi sebagai bagian dari kampanye phishing.
Uniswap belum mengeluarkan pernyataan publik tentang kampanye saat ini. Dua alamat penyerang yang diidentifikasi yang memegang dana yang dicuri tetap aktif di blockchain.
Apa Artinya Menjelang Paruh Kedua 2026
Kampanye iklan palsu Google sangat berbeda dari eksploitasi protokol dan peretasan jembatan yang mendominasi berita keamanan DeFi di 2026. Ini tidak memerlukan kerentanan kontrak pintar, tidak ada kompromi kunci pribadi, dan tidak ada infrastruktur on-chain yang canggih. Ini memerlukan akun Google, anggaran iklan, dan salinan yang meyakinkan dari frontend protokol yang sah.
Aksesibilitas inilah yang membuatnya terus ada. $400.000 yang saat ini dipegang oleh penyerang yang diidentifikasi adalah sebagian kecil dari total yang diekstraksi melalui teknik ini selama setahun — dan kampanye ini akan berlanjut selama proses tinjauan iklan Google dapat dihindari dan pengembalian investasi tetap positif bagi para penyerang.
Nasihat dari komunitas keamanan adalah sederhana: tambahkan URL protokol resmi langsung ke bookmark, gunakan LlamaSearch untuk memverifikasi setiap domain sebelum menghubungkan dompet, dan anggap setiap hasil Google yang disponsori untuk protokol crypto sebagai mencurigakan sampai terbukti sebaliknya.