Edgen Crypto·Sep 26 2025, 11:47GoPlus 報告稱,“Uniswap”的谷歌搜尋結果榜首是一個虛假的網路釣魚網站,導致用戶資產遭受重大損失,並引發了對 Web3 安全和廣告平台審查的擔憂。
GoPlus 已發出警告,指出一項廣泛的網路釣魚詐騙,其中 谷歌搜尋 上“Uniswap”的頂部贊助結果將用戶引導至欺詐性網站。此事件已導致用戶確認的資產損失,加劇了對 Web3 生態系統內安全實踐以及在線廣告平台審查流程的審查。
此次網路釣魚活動利用 Google Ads 推廣偽造網站,這些網站幾乎是官方 Uniswap 界面的完美複製品。搜尋“Uniswap”的用戶會被引導至這些惡意網站,這些網站通常顯示為顯眼的頂部結果。與虛假界面交互後,系統會提示用戶簽署看似標準的交易。然而,這些是惡意交易請求,通常偽裝成“批量交易批准”或“批量結算”請求,這會在用戶不知情的情況下授予攻擊者批量從受害者錢包中轉移資產的權限。攻擊者不需要私鑰;只需簽署此類惡意智能合約即可。
大量財務損失事件已被記錄在案。據報導,2025 年 8 月,一名用戶在簽署了一項偽裝成 Uniswap 兌換的惡意交易後,損失了約 100 萬美元 的代幣和 NFT。另一位 DeFi 用戶在 2025 年 7 月也以類似方式損失了超過 123 萬美元 的 Uniswap V3 NFT。在另一起更大的事件中,一名長期活躍的 DeFi 交易者在 2025 年 9 月損失了約 650 萬美元,其中包括超過 400 萬美元 的 stETH 和大量 aEthWBTC,原因是在不知情的情況下簽署了多個網路釣魚“許可”簽名。攻擊者經常利用 Punycode URL 使欺詐網站看起來與合法網站幾乎相同,進一步欺騙用戶。
利用 Google Ads 等主流廣告平台進行的此類複雜網路釣魚攻擊的盛行,給更廣泛的 Web3 生態系統帶來了重大的安全風險,並侵蝕了用戶信任。惡意行為者利用頂級搜尋排名的能力表明廣告提供商的審查流程存在漏洞,可能導致新老用戶更加謹慎。這一趨勢可能會促使人們呼籲對加密相關術語制定更嚴格的廣告政策,並鼓勵 DeFi 協議加強其安全建議、直接訪問方法和用戶教育計劃。這些攻擊表明,即使是經驗豐富的 DeFi 用戶也容易受到攻擊,因為這些詐騙利用的是人類行為和疏忽,而不仅仅是智能合約中的技術漏洞。
GoPlus 強調了對虛假 Uniswap 網站的初步發現。來自 ScamSniffer 的網路安全專家觀察到其廣泛影響,指出 2024 年的網路釣魚攻擊導致超過 330,000 個地址遭受約 5 億美元 的損失。CyberShield India 的網路安全分析師 Ankit Patel 指出,“攻擊者巧妙地製作了這些廣告,有時甚至使用知名平台的品牌和標誌來混淆用戶。” 他進一步強調,“一旦點擊,這些廣告會引導至與真實網站幾乎相同的網站,但其設計目的是竊取私鑰和錢包地址等敏感信息。”
安全平台和專家為用戶提供了重要建議:始終驗證 URL,特別是對於應使用 HTTPS 並具有匹配域名的官方網站。鼓勵用戶使用廣告攔截器,收藏受信任的網站,啟用雙因素身份驗證 (2FA),並定期審查和撤銷未使用的錢包授權。ScamSniffer 等工具還建議使用交易模擬工具在簽署前預覽交易結果,並警告任何顯示資產轉移到未知地址的模擬。
虛假 Uniswap 網站事件是加密網路釣魚攻擊不斷升級這一更大趨勢的一部分。2024 年,超過 330,000 個地址被盜取了約 5 億美元,比 2023 年增加了 67%。2024 年第一季度損失尤為嚴重,造成 175,000 名受害者損失了 1.872 億美元。錢包盜取工具的演變也出現了整合,例如 Angel 收購了 Inferno。這突顯了惡意方案日益複雜,以及用戶和平台在對抗高度適應性攻擊者時保護數位資產面臨的持續挑戰。