Вредоносная кампания использовала платную поисковую рекламу, чтобы разместить поддельную страницу Uniswap выше реального сайта, в результате чего кошельки были скомпрометированы.

Как работала атака

Атакующие зарегистрировали визуально идентичный домен, который отличался несколькими символами и тонкими подстановками символов Unicode в URL.

Затем они купили рекламу в Google Ads, продвигая мошеннический сайт так, чтобы он отображался выше легитимного списка Uniswap в результатах поиска.

Пользователи, которые посетили поддельный сайт и подключили свои кошельки, подписывали подтверждение, которое предоставляло вредоносному контракту контроль над их токенами.

Известные адреса злоумышленников

Анализ блокчейна связал доходы с двумя активными адресами, которые получили средства после выполнения одобрений через поддельный интерфейс.

• 0x37925684BA178821b4436E06e67f5dBD6cfA49Bb — $185 K
• 0x2fC25F46cC49D226eF92E9A7665f3d2821F3c5E2 — $221 K

Почему поисковые объявления позволили мошенничеству

Операторы злоупотребляли методами Unicode, заменяя визуально похожие символы и используя трюки с направлением текста, чтобы скрыть истинные доменные имена.

Похожие методы ранее использовались в вредоносных расширениях браузеров и других кампаниях по выдаче себя за другие сервисы, что демонстрирует повторяющиеся пробелы в проверке и модерации.

Рекомендации, чтобы избежать компрометации

Не нажимайте на спонсируемые результаты поиска для криптовалютных проектов; вместо этого используйте проверенные закладки или официальные ссылки с сайтов проектов.

При установке расширений сверяйте идентификатор расширения (Extension ID) с официальной документацией проекта и внимательно просматривайте разрешения перед предоставлением одобрений.

Всегда внимательно просматривайте полный URL перед подключением кошелька и убедитесь, что в адресной строке нет неожиданных символов или подмен.