موجة من هجمات التصيّد عبر إعلانات جوجل تستهدف Uniswap تحوّل عمليات البحث العادية على الويب إلى فخ لمستخدمي العملات المشفّرة، حيث تقوم الروابط الإعلانية المزوّرة بإرسال الأشخاص إلى صفحات مقلّدة متطابقة تقريبًا يمكنها تفريغ المحافظ بعد عملية اتصال تبدو روتينية. ما يجعل هذه الخطة لافتة هو قلّة التعقيد التقني الذي تحتاجه: يبدو أن المهاجمين يشترون الظهور في أعلى نتائج بحث جوجل، ثم يتركون لبقية الخدعة المقنعة أن تقوم بالباقي.
الإعداد بسيط، وهذا جزء من سبب فعاليته. يبحث المستخدم عن Uniswap، وينقر على ما يبدو أنه نتيجة إعلانية شرعية، ليصل إلى واجهة تداول مستنسخة مصممة لتعكس النسخة الحقيقية. من هناك، يكون التسلسل مألوفًا بما يكفي لدرجة أن الضحايا قد ينتهون بتوقيع أذونات تمنح المهاجمين السيطرة على أصولهم.
تمت سرقة ما لا يقل عن 400,000 دولار من العملات المشفّرة بالفعل، وفقًا للتتبّع المرتبط بهذه الحملة. ويقول الباحثون إن هذه الإعلانات جزء من حملة إعلانات خبيثة أوسع استهدفت مستخدمي DeFi من خلال الإعلانات المدفوعة في نتائج البحث بدلًا من استغلال البروتوكولات مباشرة.
Summary
إعلانات Uniswap المزوّرة تسرق الأموال
استخدمت حملة التصيّد هذه إعلانات جوجل مزوّرة تنتحل صفة Uniswap، حيث وضعت نتائج إعلانية احتيالية أمام المستخدمين الذين يبحثون بنشاط عن المنصّة. بدلًا من مهاجمة كود Uniswap أو أنظمتها، يبدو أن العملية تستهدف الباب الأمامي لاستخدام العملات المشفّرة: البحث.
هذا الفارق مهم. بالنسبة للعديد من المستخدمين، وخاصة المتداولين غير المتعمّقين، يُعد بحث جوجل هو الطريقة التي يصلون بها إلى منصّات DeFi في المقام الأول. إذا ظهر إدراج مزوّر فوق النتيجة الحقيقية، فإن عملية الاحتيال تصطاد الأشخاص في اللحظة نفسها التي يكونون فيها مستعدين لربط محفظة وإجراء معاملة.
كيف تعمل عملية التصيّد عبر إعلانات جوجل التي تستهدف Uniswap
يتم إرسال المستخدمين الذين ينقرون على الإعلان إلى واجهة تداول مستنسخة تحاكي تصميم Uniswap عن كثب. ثم تقوم الصفحة بإرشادهم خلال ما يبدو أنه عملية عادية لربط المحفظة والموافقة على الأذونات.
يكمن الخطر في مرحلة التوقيع. ما يبدو كطلب إذن قياسي يمكن أن يمنح المهاجمين صلاحيات واسعة، مما يسمح لهم بتفريغ الأموال دون الحاجة إلى المفاتيح الخاصة.
من الناحية العملية، يتبع مخطط تفريغ المحافظ مسارًا يمكن التعرّف عليه:
- يظهر إعلان Uniswap مزوّر في نتائج بحث جوجل المموّلة.
- يصل المستخدم إلى واجهة مزيّفة، يربط محفظته، ويوقّع على الأذونات.
- يتم بعد ذلك نقل الأموال من المحفظة بعد وقت قصير.
حتى الآن، تمت سرقة ما لا يقل عن 400,000 دولار من العملات المشفّرة في هذه الحملة.
كيف يختبئ الهجوم في العلن
يبدو أن قدرة العملية على الاستمرار لا تأتي فقط من التصميم المصقول. يقول الباحثون إن الحملة تستخدم تقنيات إخفاء لتفادي أنظمة مراجعة إعلانات جوجل، مما يساعد الصفحات الخبيثة على الظهور بمظهر غير ضار أثناء الفحوصات الآلية، بينما تعرّض المستخدمين الفعليين لحمولة تفريغ المحافظ.
هذا سبب رئيسي يجعل هذه القصة تتجاوز مجرد عملية احتيال واحدة. إذا كانت حملة تصيّد تستهدف العملات المشفّرة قادرة على اجتياز مراجعة الإعلانات مرارًا أثناء انتحال صفة علامة DeFi كبرى، فهذا يشير إلى أن نقطة الضعف ليست مجرد خطأ من المستخدم. بل تتعلّق أيضًا بكيفية إساءة استخدام بنية الإعلانات المدفوعة لوضع روابط احتيالية في مواقع مميّزة.
الإخفاء ووضع الإعلانات في حملة التصيّد
وفقًا للتقارير المرتبطة بالقضية، يزايد المهاجمون على كلمات بحث مرتبطة بـ Uniswap حتى تظهر روابطهم فوق النتائج الشرعية. ويقول باحثو الأمن إن العديد من هذه المواقع تعتمد بعد ذلك على تقنيات الإخفاء لتجنّب اكتشافها من قِبل أنظمة جوجل.
قام محلّل السلسلة b-block بتتبّع الحملة إلى عناوين محافظ مرتبطة بالعملية. احتوت المحافظ المتتبّعة مجتمعة على ما لا يقل عن 146 ETH، بقيمة تقارب 306,000 دولار في وقت التتبّع. وقد تجاوزت الخسائر المؤكدة الإجمالية عبر الضحايا 400,000 دولار، رغم أن أرصدة المحافظ والرقم الأوسع للخسائر لا يُقدّمان كقياس واحد.
يمنح هذا الأثر على السلسلة الحملة مستوى من الوضوح غير المعتاد في عمليات الاحتيال القائمة على الويب. فهو لا يحدّد الأشخاص القائمين عليها، لكنه يُظهر كيف ترتبط السرقات من خلال نشاط البلوكشين.
لماذا تنتشر الحملة
الإعلانات المزوّرة التي تستهدف Uniswap ليست حدثًا معزولًا. تقول منظمة Security Alliance، المعروفة أيضًا باسم SEAL، إن هجمات التصيّد المرتبطة بإعلانات بحث جوجل قد ارتفعت منذ مارس 2026. وقد حدّدت المجموعة أكثر من 356 رابطًا إعلانيًا خبيثًا، وبلغت الخسائر المرتبطة بالحملات ذات الصلة 1.27 مليون دولار.
هذا السياق الأوسع مهم لأنه يُظهر أن الأمر لم يعد مجرد مشكلة انتحال علامة تجارية واحدة. إنه دليل تشغيلي قابل للتكرار: اشترِ إعلانات بحث، قلد واجهة عملات مشفّرة موثوقة، ادفع المستخدمين لتوقيع أذونات للمحفظة، ثم انتقل إلى روابط جديدة مع الإبلاغ عن الروابط الأقدم.
ما يقوله الباحثون عن الاتجاه الأوسع
تشير نتائج SEAL إلى دورة إعلانات خبيثة سريعة الحركة. يمكن تبديل النطاقات الخبيثة بسرعة، مما يجعل تطبيق القواعد أكثر صعوبة ويمنح المهاجمين مساحة للظهور مرارًا في نتائج البحث.
كانت ستايسي مور، مؤسسة Green Dots، من بين أولئك الذين أشاروا علنًا إلى الحملة بعد رصد أحد النتائج الإعلانية الاحتيالية على بحث جوجل. وقد ساعد ذلك في لفت الانتباه إلى عملية احتيال تبدو مصقولة بما يكفي للاندماج في سلوك التصفّح العادي.
المشكلة الأكبر بالنسبة لأمن DeFi هي أن هذا النوع من التصيّد لا يعتمد على كسر العقود الذكية أو العثور على ثغرات في البروتوكولات. إنه يستغل الثقة والعادة وآليات الإعلانات عبر الإنترنت. بالنسبة لمستخدمي العملات المشفّرة، يعني ذلك أن التهديد يقع خارج البلوكشين بقدر ما يقع عليه.
وبالنسبة للمنصّات الكبرى مثل Uniswap، يتزايد الضغط في مكان لا تملكه سيطرة كاملة عليه: نتائج البحث التي يبدأ عندها العديد من المستخدمين رحلتهم.
