Des publicités Google d'hameçonnage Uniswap auraient siphonné au moins 400 000 $

Les utilisateurs de crypto recherchant Uniswap sur Google tombent une fois de plus dans un piège familier. Dans la dernière affaire d'hameçonnage Uniswap via Google Ads, de faux liens sponsorisés auraient aidé des escrocs à voler au moins 400 000 $ en dirigeant les utilisateurs vers un site cloné suffisamment convaincant pour gagner leur confiance.

Ce qui distingue cette affaire, c'est l'apparente banalité du procédé. Un utilisateur recherche une grande marque DeFi, voit un résultat payant au-dessus du lien légitime, clique, connecte un portefeuille et approuve une transaction. Quelques instants plus tard, les actifs ont disparu.

Ce schéma est devenu alarmamment courant dans le secteur crypto. Les chercheurs en sécurité affirment que cette campagne à thème Uniswap s'inscrit dans une vague plus large de fausses publicités crypto et de sites d'hameçonnage via la recherche Google se propageant dans les résultats de recherche.

Les fausses publicités Uniswap sur Google auraient vidé au moins 400 000 $

Les pertes signalées liées à la fausse campagne Uniswap ont atteint au moins 400 000 $, selon des rapports on-chain cités par des observateurs de la sécurité.

L'analyste on-chain b-block a lié l'opération à deux adresses de portefeuille détenant 146 ETH. L'article indique que ces portefeuilles détenaient ensemble environ 306 000 $ au moment des faits, selon les données Etherscan.

Stacy Muur, fondatrice de Green Dots, a indiqué que les publicités d'hameçonnage étaient placées au-dessus des liens Uniswap légitimes dans la recherche Google. Elle a également partagé une capture d'écran montrant le faux résultat sponsorisé, soulignant le problème central de ce type de configuration d'hameçonnage via la recherche Google : le lien malveillant peut apparaître avant le vrai.

C'est important car le positionnement dans les résultats de recherche modifie rapidement le comportement des utilisateurs. Dans le secteur crypto, où les utilisateurs agissent souvent rapidement pour connecter des portefeuilles, échanger des tokens ou suivre les mouvements du marché, un seul clic mal placé peut transformer une visite ordinaire en une compromission totale du portefeuille.

Comment la campagne d'hameçonnage a fonctionné

Le mécanisme était simple, mais efficace. Les rapports de sécurité ont lié la campagne à des publicités Google Search sponsorisées imitant l'annonce officielle d'Uniswap. Après avoir cliqué, les utilisateurs atterrissaient sur une page d'hameçonnage qui copiait fidèlement l'interface d'Uniswap.

À partir de là, le piège se déplaçait on-chain.

Les attaquants ont utilisé un smart contract malveillant pour inciter les victimes à approuver des transferts d'actifs illimités. Une fois cette approbation accordée, les escrocs n'avaient pas besoin de clés privées pour déplacer les fonds. L'approbation elle-même ouvrait la porte.

Concrètement, l'escroquerie de vidage de portefeuille suivait une séquence familière :

• Une fausse publicité sponsorisée apparaît au-dessus du résultat Uniswap légitime
• La victime connecte un portefeuille sur une interface clonée et signe une approbation
• Le contrat malveillant obtient les autorisations de transfert et vide les actifs

C'est l'une des raisons pour lesquelles la menace d'hameçonnage Uniswap via Google Ads est si efficace. Elle ne dépend pas d'une intrusion dans un portefeuille au sens traditionnel. Au lieu de cela, elle abuse de la confiance des utilisateurs et du flux d'approbation normal intégré aux applications décentralisées.

Pourquoi les groupes de sécurité affirment que la menace est croissante

Les groupes de sécurité avertissent depuis des mois que les fausses publicités crypto ne sont pas des incidents isolés. Ce sont des canaux d'attaque récurrents.

SEAL a précédemment indiqué que l'hameçonnage lié aux publicités Google Search avait volé plus de 1,27 million $ entre le 13 mars et le 30 mars seulement. L'organisation a également déclaré avoir bloqué plus de 356 liens publicitaires malveillants au cours de l'année écoulée.

Cette ampleur suggère que le problème n'est plus seulement un problème d'usurpation de marque pour un protocole. Il devient un problème d'infrastructure pour la découverte des cryptos elles-mêmes. Si les grands services DeFi sont usurpés là où les utilisateurs les trouvent en premier sur les moteurs de recherche, alors la surface d'attaque commence avant même qu'un utilisateur n'atteigne une application.

SEAL a indiqué que les attaquants achètent directement des publicités Google ou compromettent des comptes d'annonceurs légitimes pour distribuer de faux liens usurpant l'identité de protocoles et d'échanges majeurs. Le groupe a également indiqué que les acteurs malveillants surenchérissent souvent sur les entreprises légitimes, aidant les pages d'hameçonnage à se hisser en tête des résultats de recherche sponsorisés.

Pourquoi le modèle Google Ads est si utile aux escrocs

Le modèle Google Ads fonctionne pour les attaquants car il emprunte la confiance du moteur de recherche lui-même. Par conséquent, les utilisateurs peuvent supposer qu'un résultat sponsorisé est sûr, surtout lorsqu'il utilise un nom familier comme Uniswap.

Dans le secteur crypto, ce fossé de confiance est particulièrement dangereux. Les utilisateurs agissent souvent rapidement, et même une seule approbation peut donner à un contrat malveillant la permission de vider les fonds.

Un schéma qui s'étend au-delà d'Uniswap

Le dernier incident s'inscrit dans une tendance plus large.

Scam Sniffer a précédemment signalé qu'un utilisateur avait perdu plus de 1,23 million $ en NFTs Uniswap via un faux site. Dans ce cas également, la page d'hameçonnage aurait copié la vraie interface et utilisé un flux de transaction malveillant pour vider les fonds après approbation.

PeckShield Alert a également averti de la présence de fausses publicités Aave apparaissant dans les résultats de recherche Google. Cela signifie que le problème ne se limite pas à un seul token, un seul échange ou une seule campagne. Il affecte plusieurs marques DeFi reconnues.

Les chercheurs en sécurité ont également signalé les interfaces clonées et les domaines Punycode comme tactiques récurrentes. Ces faux sites peuvent paraître presque identiques à l'original, surtout lorsqu'ils sont associés à une publicité payante et à un nom de marque familier. Pour les utilisateurs qui agissent rapidement, la différence peut être difficile à détecter.

Pourquoi cela est important pour les utilisateurs de crypto et les plateformes DeFi

Cette histoire ne concerne pas seulement un réseau d'hameçonnage.

Le problème plus large est que la publicité dans les moteurs de recherche reste un canal direct vers les escroqueries de vidage de portefeuille. Pour les plateformes crypto, cela crée un problème de marque et de confiance même lorsque leurs propres systèmes ne sont pas compromis. Pour les utilisateurs, cela signifie que des actions basiques comme la recherche de la page d'accueil d'un protocole peuvent comporter des risques cachés.

Cela aide également à expliquer pourquoi les équipes de sécurité continuent de se concentrer sur les approbations plutôt que sur les simples mots de passe ou phrases de récupération. Dans bon nombre de ces attaques, les victimes ne remettent pas leurs clés privées. Elles autorisent des transferts malveillants via des interfaces conçues pour paraître légitimes.

Cette distinction est importante car elle change la façon dont le vol de crypto se produit. Le point faible n'est souvent pas le logiciel de portefeuille lui-même, mais le chemin que les utilisateurs empruntent pour atteindre une application.

La bataille des moteurs de recherche fait désormais partie de la sécurité crypto

La dernière campagne d'hameçonnage Uniswap via Google Ads montre à quel point la sécurité crypto chevauche désormais étroitement la visibilité dans les recherches, le positionnement des publicités et l'usurpation de marque.

Le lien établi par b-block avec deux portefeuilles détenant 146 ETH donne à l'affaire une ancre on-chain, tandis que les chiffres plus larges de SEAL pointent vers une tendance plus importante qui continue de toucher les utilisateurs dans tout le secteur. En ajoutant les avertissements concernant Aave et les pertes antérieures liées à Uniswap, le message est difficile à ignorer : pour de nombreux attaquants, la chasse aux victimes commence bien avant qu'un portefeuille ne soit connecté.