Les utilisateurs de crypto qui recherchent Uniswap sur Google tombent une fois de plus dans un piège bien connu. Dans le dernier cas de phishing Uniswap via Google Ads, des liens sponsorisés frauduleux auraient permis à des escrocs de voler au moins 400 000 $ en redirigeant les utilisateurs vers un site cloné qui paraissait suffisamment réel pour gagner leur confiance.
Ce qui distingue ce cas, c’est à quel point la configuration semble ordinaire. Un utilisateur recherche une grande marque DeFi, voit un résultat payant au-dessus du lien légitime, clique, connecte un wallet et approuve une transaction. Quelques instants plus tard, les actifs ont disparu.
Ce schéma est devenu alarmant de fréquence dans l’univers crypto. Parallèlement, les chercheurs en sécurité affirment que cette campagne à thème Uniswap fait partie d’une vague plus large de fausses publicités crypto et de sites de phishing via la recherche Google qui se propagent dans les résultats de recherche.
Summary
De fausses publicités Uniswap sur Google auraient siphonné au moins 400 000 $
Les pertes signalées liées à la fausse campagne Uniswap ont atteint au moins 400 000 $, selon des rapports on-chain cités par des observateurs en sécurité.
L’analyste on-chain b-block a relié l’opération à deux adresses de wallet détenant 146 ETH. L’article indique que ces wallets détenaient ensemble environ 306 000 $ à ce moment-là, sur la base des données d’Etherscan.
Stacy Muur, fondatrice de Green Dots, a déclaré que les publicités de phishing étaient placées au-dessus des liens Uniswap légitimes dans la recherche Google. Elle a également partagé une capture d’écran montrant le faux résultat sponsorisé, soulignant le problème central de ce type de configuration de phishing via la recherche Google : le lien malveillant peut apparaître avant le lien réel.
Cela compte, car le positionnement dans les résultats de recherche modifie rapidement le comportement des utilisateurs. Dans la crypto, où les utilisateurs agissent souvent vite pour connecter des wallets, échanger des tokens ou suivre les mouvements de marché, un simple clic au mauvais endroit peut transformer une visite de routine en compromission totale d’un wallet.
Comment la campagne de phishing a fonctionné
La mécanique était simple, mais efficace. Les rapports de sécurité ont lié la campagne à des annonces sponsorisées sur Google qui imitaient la fiche officielle d’Uniswap. Après avoir cliqué, les utilisateurs atterrissaient sur une page de phishing qui copiait de près l’interface d’Uniswap.
À partir de là, le piège se déplaçait on-chain.
Les attaquants ont utilisé un smart contract malveillant pour tromper les victimes et leur faire approuver des transferts d’actifs illimités. Une fois cette approbation accordée, les escrocs n’avaient pas besoin de clés privées pour déplacer les fonds. L’approbation elle-même ouvrait la porte.
Concrètement, l’arnaque de vidage de wallet a suivi une séquence bien connue :
- Une fausse annonce sponsorisée apparaît au-dessus du résultat Uniswap légitime
- La victime connecte un wallet sur une interface clonée et signe une approbation
- Le contrat malveillant obtient des permissions de transfert et vide les actifs
C’est l’une des raisons pour lesquelles la menace de phishing Uniswap via Google Ads est si efficace. Elle ne dépend pas d’une intrusion dans un wallet au sens traditionnel. Elle abuse plutôt de la confiance des utilisateurs et du flux d’approbation normal intégré aux applications décentralisées.
Pourquoi les groupes de sécurité affirment que la menace grandit
Les groupes de sécurité avertissent depuis des mois que les fausses publicités crypto ne sont pas des incidents isolés. Ce sont des canaux d’attaque récurrents.
SEAL a précédemment indiqué que le phishing lié aux annonces Google Search avait permis de voler plus de 1,27 million de dollars entre le 13 mars et le 30 mars seulement. L’organisation a également déclaré avoir bloqué plus de 356 liens publicitaires malveillants au cours de l’année écoulée.
Cette ampleur suggère que le problème n’est plus seulement une question d’usurpation de marque pour un seul protocole. Il devient un problème d’infrastructure pour la découverte de services crypto elle-même. Si des services DeFi majeurs sont usurpés à l’endroit même où les utilisateurs les trouvent pour la première fois sur les moteurs de recherche, alors la surface d’attaque commence avant même que quiconque n’atteigne une application.
SEAL a indiqué que les attaquants achètent soit directement des publicités Google, soit compromettent des comptes d’annonceurs légitimes pour diffuser de faux liens usurpant l’identité de grands protocoles et exchanges. Le groupe a également déclaré que les acteurs malveillants surenchérissent souvent sur les entreprises légitimes, aidant ainsi les pages de phishing à remonter en tête des résultats sponsorisés.
Pourquoi le modèle Google Ads est si utile aux escrocs
Le modèle Google Ads fonctionne pour les attaquants parce qu’il emprunte la confiance accordée au moteur de recherche lui-même. En conséquence, les utilisateurs peuvent supposer qu’un résultat sponsorisé est sûr, surtout lorsqu’il utilise un nom familier comme Uniswap.
Dans la crypto, cet écart de confiance est particulièrement dangereux. Les utilisateurs agissent souvent rapidement, et une seule approbation peut donner à un contrat malveillant la permission de vider des fonds.
Un schéma qui dépasse le cas Uniswap
Le dernier incident s’inscrit dans une tendance plus large.
Scam Sniffer a précédemment rapporté qu’un utilisateur avait perdu plus de 1,23 million de dollars en NFTs Uniswap via un faux site. Là aussi, la page de phishing aurait copié la véritable interface et utilisé un flux de transaction malveillant pour vider les fonds après approbation.
PeckShield Alert a également mis en garde contre de fausses publicités Aave apparaissant dans les résultats de recherche Google. Cela signifie que le problème ne se limite pas à un seul token, un seul exchange ou une seule campagne. Il touche plusieurs marques DeFi reconnues.
Les chercheurs en sécurité ont également pointé du doigt les interfaces clonées et les domaines en Punycode comme tactiques récurrentes. Ces faux sites peuvent paraître presque identiques aux vrais, surtout lorsqu’ils sont associés à une publicité payante et à un nom de marque familier. Pour des utilisateurs qui vont vite, la différence peut être difficile à repérer.
Pourquoi cela compte pour les utilisateurs crypto et les plateformes DeFi
Cette histoire va au-delà d’un seul réseau de phishing.
Le problème plus large est que la publicité sur les moteurs de recherche reste un canal direct vers des arnaques de vidage de wallet. Pour les plateformes crypto, cela crée un problème de marque et de confiance même lorsque leurs propres systèmes ne sont pas compromis. Pour les utilisateurs, cela signifie que des actions basiques comme rechercher la page d’accueil d’un protocole peuvent comporter un risque caché.
Cela aide aussi à expliquer pourquoi les équipes de sécurité se concentrent de plus en plus sur les approbations plutôt que seulement sur les mots de passe ou les phrases de récupération. Dans bon nombre de ces attaques, les victimes ne remettent pas leurs clés privées. Elles autorisent des transferts malveillants via des interfaces conçues pour paraître légitimes.
Cette distinction est importante car elle modifie la manière dont les vols de crypto se produisent. Le point faible n’est souvent pas le logiciel du wallet lui-même, mais le chemin que les utilisateurs empruntent pour atteindre une application.
La bataille de la recherche devient une partie de la sécurité crypto
La dernière campagne de phishing Uniswap via Google Ads montre à quel point la sécurité crypto se recoupe désormais avec la visibilité dans les moteurs de recherche, le placement des annonces et l’usurpation de marque.
Le lien établi par b-block avec deux wallets détenant 146 ETH donne à l’affaire un ancrage on-chain, tandis que les chiffres plus larges fournis par SEAL pointent vers une tendance plus vaste qui continue de toucher les utilisateurs dans tout le secteur. Ajoutez à cela les avertissements concernant Aave et les pertes antérieures liées à Uniswap, et le message est difficile à ignorer : pour de nombreux attaquants, la chasse aux victimes commence bien avant qu’un wallet ne soit connecté.
