يواجه مستخدمو العملات المشفرة الذين يبحثون عن Uniswap على Google مرة أخرى فخًا مألوفًا. في أحدث حالة من إعلانات التصيّد الاحتيالي لـ Uniswap على Google، يُقال إن الروابط المزوّرة المموّلة ساعدت المحتالين على سرقة ما لا يقل عن 400,000 دولار من خلال دفع المستخدمين نحو موقع مستنسخ بدا حقيقيًا بما يكفي لكسب ثقتهم.
ما يجعل هذه الحالة مميزة هو مدى عادية الإعداد الظاهري. يبحث المستخدم عن علامة DeFi رئيسية، يرى نتيجة مدفوعة أعلى الرابط الشرعي، ينقر، يربط محفظة، ويوافق على معاملة. بعد لحظات، تختفي الأصول.
أصبح هذا النمط شائعًا بشكل مقلق في عالم العملات المشفرة. في الوقت نفسه، يقول باحثو الأمن إن هذه الحملة المرتبطة بـ Uniswap هي جزء من موجة أوسع من إعلانات العملات المشفرة المزوّرة ومواقع التصيّد عبر بحث Google التي تنتشر عبر نتائج البحث.
Summary
إعلانات Uniswap المزوّرة على Google استنزفت ما لا يقل عن 400,000 دولار وفقًا للتقارير
وصلت الخسائر المبلغ عنها المرتبطة بحملة Uniswap المزوّفة إلى ما لا يقل عن 400,000 دولار، وفقًا لتقارير على السلسلة استشهد بها مراقبو الأمن.
ربط المحلل على السلسلة b-block العملية بعنواني محفظة يحتفظان بـ 146 ETH. ويذكر المقال أن تلك المحافظ كانت تحتفظ معًا بحوالي 306,000 دولار في ذلك الوقت، استنادًا إلى بيانات Etherscan.
قالت Stacy Muur، مؤسسة Green Dots، إن إعلانات التصيّد الاحتيالي وُضعت فوق روابط Uniswap الشرعية في بحث Google. كما شاركت لقطة شاشة تُظهر النتيجة المموّلة المزوّفة، مما يبرز المشكلة الأساسية في هذا النوع من إعداد التصيّد عبر بحث Google: يمكن أن يظهر الرابط الخبيث قبل الرابط الحقيقي.
هذا مهم لأن ترتيب الظهور في البحث يغيّر سلوك المستخدم بسرعة. في عالم العملات المشفرة، حيث يتصرف المستخدمون غالبًا بسرعة لربط المحافظ، أو مبادلة الرموز، أو ملاحقة تحركات السوق، يمكن لنقرة واحدة في غير محلها أن تحوّل زيارة روتينية إلى اختراق كامل للمحفظة.
كيف عملت حملة التصيّد الاحتيالي
كانت الآلية بسيطة لكنها فعّالة. ربطت تقارير الأمن الحملة بإعلانات بحث مموّلة على Google تقلّد الإدراج الرسمي لـ Uniswap. بعد نقر المستخدمين، هبطوا على صفحة تصيّد تحاكي واجهة Uniswap عن كثب.
من هناك، انتقل الفخ إلى السلسلة.
استخدم المهاجمون عقدًا ذكيًا خبيثًا لخداع الضحايا للموافقة على تحويلات غير محدودة للأصول. بمجرد منح تلك الموافقة، لم يكن المحتالون بحاجة إلى المفاتيح الخاصة لنقل الأموال. الموافقة نفسها فتحت الباب.
من الناحية العملية، اتبع مخطط استنزاف المحافظ تسلسلًا مألوفًا:
- يظهر إعلان مموّل مزوّف فوق نتيجة Uniswap الشرعية
- يربط الضحية محفظة على واجهة مستنسخة ويوقّع على موافقة
- يحصل العقد الخبيث على أذونات التحويل ويستنزف الأصول
هذا أحد الأسباب التي تجعل تهديد إعلانات التصيّد الاحتيالي لـ Uniswap على Google فعّالًا للغاية. فهو لا يعتمد على اختراق المحفظة بالمعنى التقليدي. بدلًا من ذلك، يستغل ثقة المستخدم وتدفّق الموافقات العادي المدمج في التطبيقات اللامركزية.
لماذا تقول مجموعات الأمن إن التهديد يتزايد
مجموعات الأمن تحذّر منذ أشهر من أن إعلانات العملات المشفرة المزوّفة ليست حوادث معزولة. إنها قنوات هجوم متكررة.
قالت SEAL سابقًا إن التصيّد المرتبط بإعلانات بحث Google سرق أكثر من 1.27 مليون دولار بين 13 مارس و30 مارس فقط. كما قالت المنظمة إنها حظرت أكثر من 356 رابط إعلان خبيث خلال العام الماضي.
يشير هذا الحجم إلى أن المشكلة لم تعد مجرد مشكلة انتحال علامة تجارية لبروتوكول واحد. إنها تتحول إلى مشكلة بنية تحتية لاكتشاف العملات المشفرة نفسها. إذا كانت خدمات DeFi الرئيسية تُنتحل حيث يجدها المستخدمون لأول مرة على محركات البحث، فإن سطح الهجوم يبدأ قبل أن يصل أي شخص حتى إلى التطبيق.
قالت SEAL إن المهاجمين إما يشترون إعلانات Google مباشرة أو يخترقون حسابات معلنين شرعيين لتوزيع روابط مزوّفة تنتحل بروتوكولات وبورصات رئيسية. كما قالت المجموعة إن الجهات الخبيثة غالبًا ما تزايد بعروض أعلى من الشركات الشرعية، مما يساعد صفحات التصيّد على الصعود إلى قمة نتائج البحث المموّلة.
لماذا نموذج إعلانات Google مفيد جدًا للمحتالين
يعمل نموذج إعلانات Google لصالح المهاجمين لأنه يستعير الثقة من محرك البحث نفسه. ونتيجة لذلك، قد يفترض المستخدمون أن النتيجة المموّلة آمنة، خاصة عندما تستخدم اسمًا مألوفًا مثل Uniswap.
في عالم العملات المشفرة، تكون فجوة الثقة هذه خطيرة بشكل خاص. يتحرك المستخدمون غالبًا بسرعة، وحتى موافقة واحدة يمكن أن تمنح عقدًا خبيثًا إذنًا لاستنزاف الأموال.
نمط يمتد إلى ما بعد Uniswap
الحادث الأخير ينسجم مع اتجاه أوسع.
أفاد Scam Sniffer سابقًا بأن مستخدمًا خسر أكثر من 1.23 مليون دولار في رموز NFTs على Uniswap عبر موقع مزوّف. في تلك الحالة أيضًا، يُقال إن صفحة التصيّد نسخت الواجهة الحقيقية واستخدمت تدفّق معاملة خبيثًا لاستنزاف الأموال بعد الموافقة.
حذّر PeckShield Alert أيضًا من إعلانات Aave مزوّفة تظهر في نتائج بحث Google. هذا يعني أن المشكلة لا تقتصر على رمز واحد، أو بورصة واحدة، أو حملة واحدة. إنها تؤثر على عدة علامات DeFi معروفة.
أشار باحثو الأمن أيضًا إلى الواجهات المستنسخة ونطاقات Punycode كأساليب متكررة. يمكن أن تبدو هذه المواقع المزوّفة متطابقة تقريبًا مع الحقيقية، خاصة عند إقرانها بإعلان مدفوع واسم علامة تجارية مألوف. بالنسبة للمستخدمين الذين يتحركون بسرعة، يمكن أن يكون من الصعب ملاحظة الفرق.
لماذا يهم هذا لمستخدمي العملات المشفرة ومنصات DeFi
هذه القصة تتجاوز حلقة تصيّد واحدة.
المشكلة الأكبر هي أن الإعلانات على محركات البحث لا تزال قناة مباشرة إلى مخططات استنزاف المحافظ. بالنسبة لمنصات العملات المشفرة، يخلق ذلك مشكلة علامة تجارية وثقة حتى عندما لا تُخترق أنظمتها نفسها. وبالنسبة للمستخدمين، فهذا يعني أن إجراءات أساسية مثل البحث عن الصفحة الرئيسية لبروتوكول ما يمكن أن تحمل مخاطر خفية.
كما يساعد ذلك في تفسير سبب تركيز فرق الأمن باستمرار على الموافقات بدلًا من كلمات المرور أو عبارات الاسترداد فقط. في العديد من هذه الهجمات، لا يسلّم الضحايا مفاتيحهم الخاصة. إنهم يصرّحون بتحويلات خبيثة عبر واجهات مصممة لتبدو شرعية.
هذا الفارق مهم لأنه يغيّر كيفية حدوث سرقة العملات المشفرة. غالبًا ما لا تكون نقطة الضعف هي برنامج المحفظة نفسه، بل المسار الذي يسلكه المستخدمون للوصول إلى التطبيق.
معركة البحث تصبح جزءًا من أمن العملات المشفرة
تُظهر أحدث حملة من إعلانات التصيّد الاحتيالي لـ Uniswap على Google مدى تداخل أمن العملات المشفرة الآن مع الظهور في البحث، وترتيب الإعلانات، وانتحال العلامات التجارية.
يمنح ربط b-block بحسابين يحتفظان بـ 146 ETH هذه الحالة مرجعًا على السلسلة، بينما تشير الأرقام الأوسع من SEAL إلى اتجاه أكبر لا يزال يصيب المستخدمين عبر القطاع. أضف إلى ذلك التحذيرات المتعلقة بـ Aave والخسائر السابقة المرتبطة بـ Uniswap، وستكون الرسالة واضحة: بالنسبة للعديد من المهاجمين، يبدأ البحث عن الضحايا قبل وقت طويل من ربط المحفظة.
