谷歌贊助廣告爆出漏洞：假冒 Uniswap(UNI) 釣魚一年狂吸百萬美元以太幣(ETH)

根據多家區塊鏈與資安研究人員於 13 日（當地時間）披露，*谷歌*搜索結果中的「*贊助廣告*」長期遭到駭客濫用，成為*加密貨幣*「*釣魚詐騙*」的重要入口。攻擊者透過偽裝成*去中心化交易所*「*Uniswap(UNI)*」的廣告，將使用者導向仿冒網站，至少已造成「數十萬美元」等級的資產損失。

研究人員指出，攻擊者鎖定的是*谷歌*搜索結果最上方的廣告版位。他們會直接購買新廣告帳號，或是入侵合法廣告主帳號，接著以高於官方服務的出價競標，讓偽造的 Uniswap 連結優先顯示在真實網站之前。對一般使用者而言，這些廣告看起來就像正常的官方入口，非常具有迷惑性。

這些惡意廣告的關鍵在於 URL 設計。表面上，連結看似正常、安全，足以通過*谷歌*自動審查機制；但實際上，網址後端暗藏額外載入元件，會在背景呼叫惡意程式碼。使用者一旦點擊，就會被導向與真正 Uniswap 幾乎一模一樣的「複製站」，而後續的網路互動與交易簽名，則悄悄經由攻擊者控制的伺服器轉送，為資產盜取鋪路。

鏈上分析師「b-block」表示，他在本週追蹤可疑資金流向時，發現多個與這類假冒 Uniswap 網站相關聯的錢包地址。目前已確認的兩個錢包共持有 146 枚以太幣(ETH)，按當前價格約為 30.6 萬美元。綜合其他尚未完全追蹤的流向，他估算整體被盜資產規模至少落在 40 萬美元以上。

非營利資安組織 SEAL 進一步說明，這並非一次性事件，而是持續一年以上的「系統性攻擊模式」。根據 SEAL 統計，僅在 3 月 13 日至 30 日這段不到三週的時間內，就有約 127 萬美元的資產遭到竊取，該組織在此期間已攔截並封鎖超過 356 個相關惡意廣告連結。SEAL 指出，這個數字只是「典型一個週期」的規模，代表同樣的攻擊行為長期以類似強度反覆出現。

*評論*：從 SEAL 提供的數據來看，真正的損失可能遠高於已被標記的錢包金額。許多中小額受害者不一定會主動回報，加上有部分資金已經透過混幣服務或跨鏈橋轉移，使得實際規模很可能被低估。

Web3 行銷公司「Green Dots」創辦人 Stacy Muur 也公開了部分假廣告截圖，提醒社群留意。他點名批評，*谷歌*對於這類針對*加密貨幣用戶*的釣魚廣告「早已非新問題」，卻多年來未徹底解決。數據平台 DeFiLlama 也在社群上警告，用戶在搜索 DeFi 協議名稱時，出現在最上方的*谷歌贊助廣告*，已成為加密用戶最常見的*釣魚*來源之一，點擊前務必再次確認網址與合約互動權限。

這波攻擊並不只鎖定 Uniswap，也不限於單一平台或廣告網路。近期資安社群還觀察到，駭客將「*AI 工具分享連結*」與*谷歌廣告*結合，向 macOS 使用者散布惡意程式碼的活動；此外，在 Facebook 上也出現假冒*微軟(MSFT)* 的廣告，誘導使用者前往聲稱是「Windows 11 下載頁面」的網站，實際上則是在植入可竊取憑證與錢包資訊的惡意軟體。

資安業界普遍認為，鎖定*搜索平台*與*廣告網路*的釣魚攻擊，在可預見的未來仍將持續，且手法會不斷更新。由於*Uniswap*、*以太坊(ETH)* 等主流協議與代幣是*加密貨幣投資人*與 DeFi 使用者最常搜尋的關鍵詞，自然成為攻擊者最愛的誘餌。專家提醒，即便是出現在搜索結果最上方、附有「贊助」或「廣告」標記的連結，也絕不能直接假定為安全；進行任何*錢包連結*或*交易簽名*操作前，都應再次透過書籤、官方社群或權威資料庫交叉確認網址，才能在這類廣告釣魚陷阱橫行的環境中，盡可能降低遭竊風險。