Cryptogebruikers die op Google naar Uniswap zoeken, lopen opnieuw in een bekende val. In het nieuwste geval van Uniswap-phishing via Google Ads zouden valse gesponsorde links oplichters hebben geholpen om minstens $400.000 te stelen door gebruikers naar een gekloonde site te sturen die er echt genoeg uitzag om hun vertrouwen te winnen.
Wat deze zaak opvallend maakt, is hoe gewoon de opzet lijkt. Een gebruiker zoekt naar een groot DeFi-merk, ziet een betaald resultaat boven de legitieme link, klikt, koppelt een wallet en keurt een transactie goed. Enkele momenten later zijn de assets verdwenen.
Dat patroon is alarmerend gebruikelijk geworden in de hele cryptowereld. Ondertussen zeggen beveiligingsonderzoekers dat deze Uniswap-gerichte campagne deel uitmaakt van een bredere golf van valse cryptoadvertenties en Google-zoekmachine-phishingsites die zich via zoekresultaten verspreiden.
Summary
Valse Uniswap-advertenties op Google hebben naar verluidt minstens $400.000 leeggetrokken
De gemelde verliezen die verband houden met de valse Uniswap-campagne zijn opgelopen tot minstens $400.000, volgens on-chainrapportage waarnaar beveiligingswaarnemers verwijzen.
On-chainanalist b-block koppelde de operatie aan twee walletadressen met 146 ETH. Het artikel zegt dat die wallets samen ongeveer $306.000 bevatten op dat moment, op basis van Etherscan-gegevens.
Stacy Muur, oprichter van Green Dots, zei dat de phishingadvertenties boven legitieme Uniswap-links in Google-zoekresultaten werden geplaatst. Ze deelde ook een screenshot van het valse gesponsorde resultaat en benadrukte daarmee het kernprobleem in dit soort Google-zoekmachine-phishing-opzet: de kwaadaardige link kan vóór de echte verschijnen.
Dat is belangrijk omdat de positie in de zoekresultaten gebruikersgedrag snel verandert. In crypto, waar gebruikers vaak snel handelen om wallets te koppelen, tokens te swappen of op marktbewegingen in te spelen, kan één verkeerde klik een routinebezoek veranderen in een volledige compromittering van een wallet.
Hoe de phishingcampagne werkte
De werkwijze was eenvoudig maar effectief. Beveiligingsrapportage koppelde de campagne aan gesponsorde Google-zoekadvertenties die de officiële Uniswap-vermelding nabootsten. Nadat gebruikers doorklikten, kwamen ze op een phishingpagina terecht die de interface van Uniswap nauwkeurig kopieerde.
Vanaf daar verplaatste de val zich naar on-chain.
Aanvallers gebruikten een kwaadaardig smart contract om slachtoffers te misleiden zodat ze onbeperkte assettransfers goedkeurden. Zodra die goedkeuring was verleend, hadden de oplichters geen privésleutels nodig om fondsen te verplaatsen. De goedkeuring zelf opende de deur.
In praktische termen volgde de wallet-drainingscam een bekend stappenplan:
- Een valse gesponsorde advertentie verschijnt boven het legitieme Uniswap-resultaat
- Het slachtoffer koppelt een wallet op een gekloonde interface en ondertekent een goedkeuring
- Het kwaadaardige contract krijgt overdrachtsrechten en trekt assets leeg
Dit is een van de redenen waarom de dreiging van Uniswap-phishing via Google Ads zo effectief is. Ze is niet afhankelijk van het op de traditionele manier inbreken in een wallet. In plaats daarvan wordt misbruik gemaakt van gebruikersvertrouwen en de normale goedkeuringsflow die in gedecentraliseerde apps is ingebouwd.
Waarom beveiligingsgroepen zeggen dat de dreiging toeneemt
Beveiligingsgroepen waarschuwen al maanden dat valse cryptoadvertenties geen op zichzelf staande incidenten zijn. Het zijn terugkerende aanvalskanalen.
SEAL zei eerder dat phishing via Google Search-advertenties tussen 13 maart en 30 maart alleen al meer dan $1,27 miljoen heeft gestolen. De organisatie zei ook dat ze het afgelopen jaar meer dan 356 kwaadaardige advertentielinks heeft geblokkeerd.
Die schaal suggereert dat het probleem niet langer alleen een merkimitatieprobleem is voor één protocol. Het wordt een infrastructuurprobleem voor cryptodiscovery zelf. Als grote DeFi-diensten worden geïmiteerd op de plek waar gebruikers ze voor het eerst vinden in zoekmachines, dan begint het aanvalsoppervlak al voordat iemand een app bereikt.
SEAL zei dat aanvallers ofwel rechtstreeks Google-advertenties kopen of legitieme adverteerdersaccounts compromitteren om valse links te verspreiden die grote protocollen en exchanges imiteren. De groep zei ook dat kwaadwillenden vaak hoger bieden dan legitieme bedrijven, waardoor phishingpagina’s naar de top van gesponsorde zoekresultaten stijgen.
Waarom het Google Ads-model zo nuttig is voor oplichters
Het Google Ads-model werkt voor aanvallers omdat het vertrouwen leent van de zoekmachine zelf. Daardoor gaan gebruikers er mogelijk van uit dat een gesponsord resultaat veilig is, vooral wanneer het een bekende naam als Uniswap gebruikt.
In crypto is dat vertrouwensgat bijzonder gevaarlijk. Gebruikers handelen vaak snel, en zelfs één goedkeuring kan een kwaadaardig contract toestemming geven om fondsen leeg te trekken.
Een patroon dat verder reikt dan Uniswap
Het meest recente incident past in een bredere trend.
Scam Sniffer meldde eerder dat een gebruiker meer dan $1,23 miljoen verloor in Uniswap-NFT’s via een valse site. Ook in dat geval kopieerde de phishingpagina naar verluidt de echte interface en gebruikte een kwaadaardige transactiestroom om fondsen leeg te trekken na goedkeuring.
PeckShield Alert heeft ook gewaarschuwd voor valse Aave-advertenties die in Google-zoekresultaten verschijnen. Dat betekent dat het probleem niet beperkt is tot één token, één exchange of één campagne. Het treft meerdere herkenbare DeFi-merken.
Beveiligingsonderzoekers hebben ook gewezen op gekloonde interfaces en Punycode-domeinen als terugkerende tactieken. Deze valse sites kunnen er bijna identiek uitzien als de echte, vooral in combinatie met een betaalde advertentie en een bekende merknaam. Voor gebruikers die snel handelen, kan het verschil moeilijk te zien zijn.
Waarom dit belangrijk is voor cryptogebruikers en DeFi-platforms
Dit verhaal gaat over meer dan één phishingbende.
Het grotere probleem is dat zoekadvertenties een directe trechter blijven naar wallet-drainingscams. Voor cryptoplatforms creëert dat een merk- en vertrouwensprobleem, zelfs wanneer hun eigen systemen niet zijn gehackt. Voor gebruikers betekent het dat basishandelingen zoals het zoeken naar de homepage van een protocol een verborgen risico kunnen inhouden.
Het helpt ook te verklaren waarom beveiligingsteams zich blijven richten op goedkeuringen in plaats van alleen wachtwoorden of seed phrases. In veel van deze aanvallen geven slachtoffers hun privésleutels niet af. Ze autoriseren kwaadaardige overdrachten via interfaces die zijn ontworpen om legitiem te lijken.
Dat onderscheid is belangrijk omdat het verandert hoe cryptodiefstal plaatsvindt. Het zwakke punt is vaak niet de walletsoftware zelf, maar het pad dat gebruikers nemen om een applicatie te bereiken.
De strijd om zoekresultaten wordt onderdeel van cryptobeveiliging
De nieuwste campagne rond Uniswap-phishing via Google Ads laat zien hoe nauw cryptobeveiliging nu samenhangt met zichtbaarheid in zoekmachines, advertentieplaatsing en merkimitatie.
De koppeling van b-block met twee wallets met 146 ETH geeft de zaak een on-chainanker, terwijl de bredere cijfers van SEAL wijzen op een grotere trend die gebruikers in de hele sector blijft raken. Tel daar de waarschuwingen rond Aave en eerdere Uniswap-gerelateerde verliezen bij op, en de boodschap is moeilijk te missen: voor veel aanvallers begint de jacht op slachtoffers lang voordat een wallet wordt gekoppeld.
