25–26 мая 2026 года злоумышленники разестили в Google платные рекламные объявления, под которыми скрывался поддельный сайт Uniswap. Пользователи, искавшие биржу через Google, попадали на копию сайта, подключали кошелёк — и лишались всех своих активов. Один пользователь потерял весь портфель — свыше $400 тыс. За всей кампанией общий ущерб составил не менее $400 тыс.
Что такое Uniswap и что произошло
Uniswap — это одна из самых популярных DEX-бирж (децентрализованных площадок для обмена токенов без посредников). Люди постоянно ищут её через Google — и именно это слабое место.
FILED under платная реклама: злоумышленники купили рекламное место в выдаче по запросу «Uniswap» и опередили официальный сайт в органической выдаче. По данным SEAL (организация безопасности Security Alliance), злоумышленники в некоторых случаях даже перепкупали легитимные рекламные аккаунты, чтобы размещать вредоносные ссылки — такие объявления труднее выявить автоматически.
Сайт был скопирован до пикселя: тот же интерфейс, те же кнопки, тот же адрес в браузере. Отличить его от настоящего было практически невозможно. Дополнительно внутри страницы был скрыт вредоносный код — невидимый для пользователя, но срабатывающий сразу после подключения кошелька.
После подключения сайт инициировал запрос на подпись — юридическое разрешение, которое выглядело как обычное действие в DeFi. Дав разрешение, пользователь фактически выдавал вредоносному контракту право тратить его токены. Дальше дрейнер-контракт (вредоносная программа для опустошения кошельков) забирал всё одной транзакцией.
Один из пострадавших, трейдер потерял весь портфель — свыше $400 тыс. У него хватило одного подтверждения в кошельке.
Почему это стало возможным
Здесь не было никакой технической уязвимости в контрактах Uniswap. Сам Uniswap не был скомпрометирован. Атака эксплуатировала доверие людей к результатам поиска Google.
Пользователи привыкли: если реклама стоит вверху и выглядит правильно — значит, это и есть нужный сайт. Но это не так: реклама — это пометка «Реклама» или «Sponsored» рядом с ссылкой. Абсолютно любой может купить такое место и опередить настоящий сайт.
SEAL сообщила: с марта по май 2026 года у крипто-пользователей через подобные фейковые рекламные кампании уже украли ~$1.27 млн. Организация заблокировала более 356 вредоносных объявлений за последнее время, но они по-прежнему появляются.
Детали расследования: движение средств
1️⃣ Средства с пострадавших поступали на два адреса: 0x37925684BA178821b4436E06e67f5dBD6cfA49Bb и 0x2fC25F46cC49D226eF92E9A7665f3d2821F3c5E2.
2️⃣ На момент обнаружения атаки на двух адресах в совокупности находилось 146 ETH (~$306 тыс.), общий ущерб превысил $400 тыс.
3️⃣ Основная часть средств остаётся на этих адресах без движения.
Заключение
Атака на пользователей Uniswap через Google — не новая схема, но она продолжает работать. Основатель Uniswap Хейден Адамс публично осудил Google за недостаточные меры против фейковых объявлений. Раньше схожие атаки приводили к потерям в $1.2 млн (июль 2025 года).
Что делать, чтобы не попасться: не переходить по рекламным ссылкам на DeFi-платформы, хранить официальные URL в закладках и внимательно проверять каждое подтверждение транзакции перед подписью.
Команда КоинКит продолжает отслеживать адреса злоумышленников.
