Een golf van Uniswap Google Ads-phishing verandert gewone webzoekopdrachten in een val voor cryptogebruikers, waarbij nep-gesponsorde links mensen naar bijna identieke kopiepagina’s sturen die wallets kunnen leegtrekken na een alledaags ogende verbinding. Wat deze werkwijze opvallend maakt, is hoe weinig technische tovenarij ervoor nodig is: de aanvallers lijken zichtbaarheid bovenaan Google Zoeken te kopen en laten vervolgens een overtuigende nepversie de rest doen.
De opzet is eenvoudig, en dat is deels waarom het werkt. Een gebruiker zoekt naar Uniswap, klikt op wat lijkt op een legitiem gesponsord resultaat en komt terecht op een gekloonde handelsinterface die is ontworpen om het echte platform te spiegelen. Vanaf daar voelt de flow vertrouwd genoeg aan dat slachtoffers uiteindelijk machtigingen kunnen ondertekenen die aanvallers controle over hun bezittingen geven.
Er is al minstens $400.000 aan crypto gestolen, volgens de tracking die aan deze campagne is gekoppeld. Onderzoekers zeggen dat de advertenties deel uitmaken van een bredere malvertising-campagne die DeFi-gebruikers treft via betaalde zoekplaatsingen in plaats van directe protocol-exploits.
Summary
Nep-Uniswap-advertenties stelen tegoeden
Deze phishingcampagne gebruikte nep-Google-advertenties die zich voordeden als Uniswap en frauduleuze gesponsorde resultaten plaatsten voor gebruikers die actief naar het platform zochten. In plaats van de code of systemen van Uniswap aan te vallen, lijkt de operatie zich te richten op de voordeur van cryptogebruik: zoeken.
Dat onderscheid is belangrijk. Voor veel gebruikers, vooral occasionele handelaren, is Google Zoeken de manier waarop zij DeFi-platforms überhaupt bereiken. Als een nepvermelding boven de echte verschijnt, vangt de scam mensen precies op het moment dat ze klaar zijn om een wallet te verbinden en een transactie te doen.
Hoe de Uniswap Google Ads-phishingzwendel werkt
Gebruikers die op de advertentie klikken, worden naar een gekloonde handelsinterface gestuurd die het ontwerp van Uniswap nauw nabootst. De pagina leidt hen vervolgens door wat lijkt op een normale walletverbinding en goedkeuringsflow.
Het gevaar komt bij de ondertekeningsfase. Wat eruitziet als een standaardmachtigingsverzoek kan aanvallers brede toegang geven, waardoor ze tegoeden kunnen leegtrekken zonder privésleutels nodig te hebben.
In praktische termen volgt de wallet-leegtrekscam een herkenbaar pad:
- Een nep-Uniswap-advertentie verschijnt in gesponsorde Google-zoekresultaten.
- De gebruiker komt op een vervalste interface terecht, verbindt een wallet en ondertekent machtigingen.
- Tegoeden worden kort daarna uit de wallet verplaatst.
Tot nu toe is er in de campagne al minstens $400.000 aan crypto gestolen.
Hoe de aanval zich in het volle zicht verbergt
De duurzaamheid van de operatie lijkt uit meer te komen dan alleen een gepolijst ontwerp. Onderzoekers zeggen dat de campagne cloakingtechnieken gebruikt om Google-adreviewsystemen te omzeilen, waardoor schadelijke pagina’s er onschadelijk uitzien tijdens geautomatiseerde controles, terwijl echte gebruikers worden blootgesteld aan de wallet-leegtrekkende payload.
Dat is een belangrijke reden waarom dit verhaal verder gaat dan één scam. Als een crypto-phishingcampagne herhaaldelijk de advertentiecontrole kan passeren terwijl een groot DeFi-merk wordt nagebootst, suggereert dat dat de zwakte niet alleen bij gebruikersfouten ligt. Het gaat ook om hoe betaalde zoekinfrastructuur kan worden misbruikt om frauduleuze links op premiumposities te plaatsen.
Cloaking en advertentieplaatsing in de phishingcampagne
Volgens de berichtgeving rond de zaak boden de aanvallers op Uniswap-gerelateerde zoektermen zodat hun links boven legitieme resultaten kunnen verschijnen. Beveiligingsonderzoekers zeggen dat veel van de sites vervolgens vertrouwen op cloaking om detectie door de systemen van Google te vermijden.
On-chain-analist b-block herleidde de campagne tot gekoppelde walletadressen die met de operatie in verband worden gebracht. De gevolgde wallets hielden gezamenlijk minstens 146 ETH aan, ter waarde van ongeveer $306.000 op het moment van tracking. De totale bevestigde verliezen onder slachtoffers zijn de grens van $400.000 gepasseerd, al worden de walletholdings en het bredere verliescijfer niet als dezelfde maatstaf gepresenteerd.
Dat on-chain-spoor geeft de campagne een mate van zichtbaarheid die ongebruikelijk is voor webgebaseerde scams. Het identificeert de mensen erachter niet, maar laat wel zien hoe de diefstallen via blockchain-activiteit met elkaar verbonden zijn.
Waarom de campagne zich verspreidt
De nep-Uniswap-advertenties staan niet op zichzelf. Security Alliance, ook bekend als SEAL, zegt dat phishing gekoppeld aan Google Search-advertenties sinds maart 2026 sterk is toegenomen. De groep identificeerde meer dan 356 kwaadaardige advertentielinks, en gerelateerde campagnes hebben geleid tot $1,27 miljoen aan verliezen.
Die bredere context is belangrijk omdat die laat zien dat dit niet langer slechts een eenmalig probleem van merkimitatie is. Het is een herhaalbaar draaiboek: zoekadvertenties kopen, een vertrouwde cryptointerface nabootsen, gebruikers ertoe brengen walletmachtigingen te ondertekenen en vervolgens naar nieuwe links roteren zodra oudere worden gemarkeerd.
Wat onderzoekers zeggen over de bredere trend
De bevindingen van SEAL wijzen op een snel bewegende malvertising-cyclus. Kwaadaardige domeinen kunnen snel worden verwisseld, wat handhaving moeilijker maakt en aanvallers de ruimte geeft om steeds opnieuw in zoekresultaten op te duiken.
Stacy Muur, oprichter van Green Dots, was een van degenen die de campagne publiekelijk signaleerden nadat zij een van de frauduleuze gesponsorde resultaten op Google Zoeken had opgemerkt. Dat hielp de aandacht te vestigen op een scam die er anders gepolijst genoeg uitziet om op te gaan in normaal surfgedrag.
Het grotere probleem voor DeFi-beveiliging is dat dit soort phishing niet afhankelijk is van het kraken van smart contracts of het vinden van protocolbugs. Het speelt in op vertrouwen, gewoonte en de mechanismen van online adverteren. Voor cryptogebruikers betekent dat dat de dreiging zich net zo goed buiten de blockchain bevindt als erop.
En voor grote platforms zoals Uniswap neemt de druk toe op een plek die zij niet volledig beheersen: de zoekresultaten waar veel gebruikers hun reis beginnen.
