鏈上分析師發現 Uniswap 假廣告在 Google 搜尋結果中竄位,竊得至少 40 萬美元(約 146 ETH)。資安組織 SEAL 表示,3 月間 Google 搜尋釣魚活動明顯增加,短短兩週內就竊走 127 萬美元。
(前情提要:Uniswap 預告 V4 版本今年推出,新升級將帶來什麼核心改變?)
(背景補充:半年竊21億美元!資安報告:駭客攻擊重心從智慧合約轉向一般使用者,四招教你保護加密資產)
鏈上分析師 b-block 在週一的 X 貼文中指出,有冒牌網站偽裝成去中心加密貨幣交易所 Uniswap,正在從多個錢包竊取資金,目前確認的竊得金額至少 40 萬美元。
Web3 行銷機構 Green Dots 共同創辦人 Stacy Muur 在 X 上證實,這些資金是透過 Google 搜尋上的釣魚廣告竊取而來,並分享了搜尋引擎中有付費廣告的截圖。她強調:「Google 數年來一直沒有注意到這個問題,假連結不斷排在真正連結前面,使用者的資金就這樣被竊走。」
根據 Etherscan 資料,兩筆被標記的地址共持有 146 ETH,價值約 30.6 萬美元。
Google 搜尋釣魚 3 月激增,兩週竊走 127 萬美元
加密貨幣資料平台 DeFiLlama 表示,「Google 假廣告是釣魚攻擊的常見來源」。加密非營利組織 Security Alliance(SEAL) 在 4 月發布報告指出,3 月間 Google 搜尋上的釣魚活動出現「顯著上升」。
SEAL 指出,攻擊者透過付費或入侵合法廣告帳戶來運作這些假廣告,偽裝成熱門加密協議,在 Google 搜尋的「贊助結果」區塊中出高價擠掉真正的協議。這些釣魚廣告使用看似正常的網址來避開 Google 的自動檢查,同時隱藏的 iframe 會載入惡意程式碼,Google 偵測系統也無法看到。
受害者點選後會進入逼真的加密應用程式複製頁面,所有網路流量都被秘密導向攻擊者控制的伺服器。SEAL 報告,3 月 13 日至 30 日期間總共被竊走的金額達到 127 萬美元。截至報告發布時,SEAL 已阻擋超過 356 個惡意廣告連結。
SEAL 警告:「這場攻勢沒有減緩的跡象,我們持續收到受影響使用者的通報。」
不只加密貨幣:假廣告已蔓延至其他領域
除了加密貨幣協議,Google 廣告也被用來進行惡意軟體推廣。5 月初的報導顯示,攻擊者利用 Google 廣告和 AI 聊天機器人 Claude 的共享對話,針對 Mac 使用者展開「惡意廣告」活動。
Facebook 也是假廣告的重災區。安全軟體公司 Malwarebytes 在 2 月報告指出,騙徒在 Facebook 上投放看似微軟官方促銷的付費廣告,將使用者導向近乎完美的 Windows 11 下載頁面複製版,在該頁面部署了設計用來竊取加密貨幣和帳號憑證的惡意軟體。
這對加密貨幣使用者的啟示很明確:在點選任何搜尋結果前,確認廣告連結指向正確的網站,是避免資金流失的第一道防線。
📍相關報導📍
Uniswap 預告 V4 版本今年推出,新升級將帶來什麼核心改變?
半年竊21億美元!資安報告:駭客攻擊重心從智慧合約轉向一般使用者,四招教你保護加密資產
Coinbase、幣安尋求接入 Claude Mythos 模型強化資安,最強 AI 能終結加密貨幣駭客?
