新聞 
幣種資訊 
關於我們 
根據 Cointelegraph 的報導,於 13 日(當地時間),有駭客透過「詞」Google 搜尋廣告偽裝成「詞」Uniswap 去中心化交易協議官網,誘導用戶點擊釣魚連結並竊取資產。鏈上數據與多家「詞」區塊鏈安全業者指出,攻擊者至少已掏走約「詞」40 萬美元,加密貨幣實際損失金額恐怕更高。
此次事件的調查由鏈上分析師「b-block」在社群平台 X 上揭露。他表示,假冒的「詞」Uniswap 網站已從多個加密錢包中持續轉出資金,目前可見攻擊者控制的地址累計持有金額已超過 40 萬美元。Web3 行銷公司「Green Dots」創辦人史黛西·穆爾(Stacey Moore)同樣指出,受害用戶多半是透過「Google 贊助廣告」被導向釣魚頁面,而非主動輸入官網網址。
穆爾批評,Google 多年來一直未徹底解決這類廣告詐騙問題,導致「假連結長期排在真官網之上」,一般用戶在匆忙操作時極易誤點,結果資金持續外流。她認為,平台在「詞」廣告審核與「詞」關鍵字保護上明顯存在缺口。
從鏈上數據來看,「詞」Etherscan 顯示,與此次攻擊相關的兩個以太坊地址,在事件曝光時共持有約 146 枚「詞」以太幣(ETH),按當時市價折合約 30.6 萬美元。去中心化金融數據平台「DeFiLlama」則補充說明,透過「Google 假廣告」導流的釣魚攻擊,在整個「詞」DeFi 生態中已是「常見手法」,對新進投資人尤其具有高度風險。
非營利網路安全組織「SEAL」在今年 4 月發布的報告中指出,今年 3 月期間,與「Google 搜尋結果」相關的釣魚攻擊出現「明顯增長」。駭客會直接向 Google 購買廣告,或是先入侵合法廣告主帳號,再投放高度仿真的惡意廣告,使其在搜尋結果中「排在官方網站之上」,並鎖定熱門關鍵字,例如主流「詞」交易所、「詞」公鏈協議或「詞」錢包服務。
SEAL 表示,僅在該調查期間,他們就已攔截超過 356 則惡意廣告連結,且過去一年多來,每週都能發現類似數量的新廣告持續出現,顯示這種攻擊模式已經形成穩定且有利可圖的黑產。受害者通常在點擊廣告後,被導向與官方網站幾乎一模一樣的「克隆頁面」,在連接錢包或簽署合約時,實際網路流量早已導向駭客伺服器,最終導致資產被轉出。
不只 Google,「詞」Facebook 等大型社群與廣告平台,同樣被安全專家點名為「假廣告」的主要散播管道。今年 5 月,還曾出現鎖定「詞」macOS 使用者的惡意廣告行動,攻擊者甚至利用知名「詞」AI 聊天機器人 Claude 的正常對話介面為誘餌,引導用戶下載惡意程式或授權不安全操作,顯示整體「詞」社交工程與「詞」惡意廣告(Malvertising)技術正在同步升級。
評論
在宏觀層面上,這類假廣告事件反映出兩個問題:其一,主流平台對「詞」加密貨幣與「詞」DeFi 相關廣告的審核機制,仍無法有效辨別高仿釣魚站;其二,當市場情緒轉暖、交易活動增加時,針對關鍵字與搜尋廣告的攻擊就會同步放大。對於持幣者與交易者而言,僅依賴搜尋結果點擊進入官網,已經不是安全做法。
隨著「詞」加密貨幣市場再度升溫,圍繞搜尋廣告與社群平台的釣魚與惡意廣告也將持續演化。在「詞」平台廣告審核與「詞」監管仍存在縫隙的情況下,專家建議用戶養成「多重驗證」習慣:包括透過官方社群或白名單連結進站、核對網址拼字與證書、避免從不明廣告安裝錢包或簽署授權。唯有平台機制與用戶安全意識雙管齊下,才能在這一輪「Google 假廣告」與「DeFi 釣魚」攻防戰中,盡可能降低資產損失風險。
留言 0