Los usuarios de criptomonedas que buscan Uniswap en Google se están encontrando una vez más con una trampa familiar. En el último caso de anuncios de Google de phishing de Uniswap, unos enlaces patrocinados falsos supuestamente ayudaron a los estafadores a robar al menos 400.000 dólares al dirigir a los usuarios hacia un sitio clonado que parecía lo suficientemente real como para ganarse su confianza.
Lo que hace que este caso destaque es lo ordinaria que parece la configuración. Un usuario busca una gran marca DeFi, ve un resultado de pago por encima del enlace legítimo, hace clic, conecta una wallet y aprueba una transacción. Momentos después, los activos han desaparecido.
Ese patrón se ha vuelto alarmantemente común en todo el sector cripto. Mientras tanto, los investigadores de seguridad afirman que esta campaña temática de Uniswap forma parte de una ola más amplia de anuncios cripto falsos y sitios de phishing en búsquedas de Google que se están extendiendo por los resultados de búsqueda.
Summary
Anuncios falsos de Uniswap en Google supuestamente drenaron al menos 400.000 dólares
Las pérdidas reportadas vinculadas a la campaña falsa de Uniswap han alcanzado al menos 400.000 dólares, según informes on-chain citados por observadores de seguridad.
El analista on-chain b-block vinculó la operación a dos direcciones de wallet que contienen 146 ETH. El artículo afirma que esas wallets en conjunto tenían aproximadamente 306.000 dólares en ese momento, según datos de Etherscan.
Stacy Muur, fundadora de Green Dots, dijo que los anuncios de phishing se colocaron por encima de los enlaces legítimos de Uniswap en la búsqueda de Google. También compartió una captura de pantalla que muestra el resultado patrocinado falso, subrayando el problema central en este tipo de configuración de phishing en búsquedas de Google: el enlace malicioso puede aparecer antes que el real.
Eso importa porque la posición en los resultados de búsqueda cambia rápidamente el comportamiento del usuario. En cripto, donde los usuarios a menudo actúan con rapidez para conectar wallets, intercambiar tokens o perseguir movimientos de mercado, un solo clic mal dirigido puede convertir una visita rutinaria en un compromiso total de la wallet.
Cómo funcionó la campaña de phishing
La mecánica era simple, pero efectiva. Los informes de seguridad vincularon la campaña a anuncios patrocinados de búsqueda en Google que imitaban el listado oficial de Uniswap. Después de que los usuarios hacían clic, llegaban a una página de phishing que copiaba de cerca la interfaz de Uniswap.
A partir de ahí, la trampa se trasladaba on-chain.
Los atacantes utilizaron un contrato inteligente malicioso para engañar a las víctimas y hacer que aprobaran transferencias ilimitadas de activos. Una vez concedida esa aprobación, los estafadores no necesitaban claves privadas para mover los fondos. La propia aprobación abrió la puerta.
En términos prácticos, la estafa de drenaje de wallet siguió una secuencia familiar:
- Un anuncio patrocinado falso aparece por encima del resultado legítimo de Uniswap
- La víctima conecta una wallet en una interfaz clonada y firma una aprobación
- El contrato malicioso obtiene permisos de transferencia y drena los activos
Esta es una de las razones por las que la amenaza de los anuncios de Google de phishing de Uniswap es tan efectiva. No depende de irrumpir en una wallet en el sentido tradicional. En su lugar, abusa de la confianza del usuario y del flujo de aprobación normal incorporado en las aplicaciones descentralizadas.
Por qué los grupos de seguridad dicen que la amenaza está creciendo
Los grupos de seguridad llevan meses advirtiendo de que los anuncios cripto falsos no son incidentes aislados. Son canales de ataque recurrentes.
SEAL dijo anteriormente que el phishing vinculado a anuncios de Google Search robó más de 1,27 millones de dólares solo entre el 13 y el 30 de marzo. La organización también afirmó que bloqueó más de 356 enlaces publicitarios maliciosos durante el último año.
Esa magnitud sugiere que el problema ya no es solo una cuestión de suplantación de marca para un único protocolo. Se está convirtiendo en un problema de infraestructura para el propio descubrimiento cripto. Si se están suplantando grandes servicios DeFi en el lugar donde los usuarios los encuentran por primera vez en los motores de búsqueda, entonces la superficie de ataque comienza antes de que nadie siquiera llegue a una aplicación.
SEAL dijo que los atacantes compran anuncios de Google directamente o bien comprometen cuentas legítimas de anunciantes para distribuir enlaces falsos que suplantan a grandes protocolos y exchanges. El grupo también afirmó que los actores maliciosos a menudo superan las pujas de las empresas legítimas, lo que ayuda a que las páginas de phishing asciendan a la parte superior de los resultados de búsqueda patrocinados.
Por qué el modelo de Google Ads es tan útil para los estafadores
El modelo de Google Ads funciona para los atacantes porque toma prestada la confianza del propio motor de búsqueda. Como resultado, los usuarios pueden asumir que un resultado patrocinado es seguro, especialmente cuando utiliza un nombre familiar como Uniswap.
En cripto, esa brecha de confianza es especialmente peligrosa. Los usuarios a menudo se mueven rápido, y una sola aprobación puede dar a un contrato malicioso permiso para drenar fondos.
Un patrón que se extiende más allá de Uniswap
El último incidente encaja en una tendencia más amplia.
Scam Sniffer informó anteriormente de que un usuario perdió más de 1,23 millones de dólares en NFTs de Uniswap a través de un sitio falso. En ese caso también, la página de phishing supuestamente copió la interfaz real y utilizó un flujo de transacción malicioso para drenar fondos tras la aprobación.
PeckShield Alert también ha advertido sobre anuncios falsos de Aave que aparecen en los resultados de búsqueda de Google. Eso significa que el problema no se limita a un solo token, un solo exchange o una sola campaña. Está afectando a múltiples marcas DeFi reconocibles.
Los investigadores de seguridad también han señalado las interfaces clonadas y los dominios Punycode como tácticas recurrentes. Estos sitios falsos pueden parecer casi idénticos a los reales, especialmente cuando se combinan con un anuncio de pago y un nombre de marca familiar. Para los usuarios que se mueven rápido, la diferencia puede ser difícil de detectar.
Por qué esto importa para los usuarios de cripto y las plataformas DeFi
Esta historia trata de algo más que de una sola red de phishing.
El problema mayor es que la publicidad en buscadores sigue siendo un embudo directo hacia estafas de drenaje de wallets. Para las plataformas cripto, eso crea un problema de marca y de confianza incluso cuando sus propios sistemas no se ven vulnerados. Para los usuarios, significa que acciones básicas como buscar la página principal de un protocolo pueden conllevar un riesgo oculto.
También ayuda a explicar por qué los equipos de seguridad siguen centrándose en las aprobaciones en lugar de solo en las contraseñas o las frases semilla. En muchos de estos ataques, las víctimas no están entregando claves privadas. Están autorizando transferencias maliciosas a través de interfaces diseñadas para parecer legítimas.
Esa distinción importa porque cambia la forma en que se produce el robo de cripto. El punto débil a menudo no es el propio software de la wallet, sino el camino que siguen los usuarios para llegar a una aplicación.
La batalla en las búsquedas se está convirtiendo en parte de la seguridad cripto
La última campaña de anuncios de Google de phishing de Uniswap muestra lo estrechamente que la seguridad cripto se solapa ahora con la visibilidad en búsquedas, la colocación de anuncios y la suplantación de marca.
La vinculación de b-block a dos wallets que contienen 146 ETH da al caso un anclaje on-chain, mientras que las cifras más amplias de SEAL apuntan a una tendencia mayor que sigue afectando a los usuarios en todo el sector. Si añadimos las advertencias que implican a Aave y las pérdidas anteriores relacionadas con Uniswap, el mensaje es difícil de pasar por alto: para muchos atacantes, la caza de víctimas comienza mucho antes de que se conecte una wallet.
