Chiến dịch phishing Uniswap(UNI) qua quảng cáo Google đánh cắp ít nhất 400.000 USD

Theo Cointelegraph đưa tin ngày 13 (giờ địa phương), một chiến dịch *“phishing Uniswap”* núp bóng *“quảng cáo Google”* đã xuất hiện ở vị trí đầu kết quả tìm kiếm và đánh cắp tài sản của người dùng. Các *“chuyên gia on-chain”* và *“công ty bảo mật”* ước tính hacker đã thu lợi tối thiểu khoảng 400.000 USD, trong khi *“tổng thiệt hại thực tế”* có thể còn lớn hơn.

Theo Cointelegraph, nhà phân tích on-chain “b-block” cho biết trên X rằng một trang web giả mạo *“Uniswap(UNI)”* đang âm thầm rút tiền từ nhiều ví khác nhau, và địa chỉ ví của kẻ tấn công dường như đang nắm giữ ít nhất 400.000 USD tài sản số. Người sáng lập công ty tiếp thị Web3 Green Dots, Stacey Moore, cũng xác nhận nhiều người dùng bị lừa thông qua *“quảng cáo được tài trợ trên Google”* chạy dưới dạng đường dẫn chính thức.

Moore chỉ trích: “Trong nhiều năm, *Google* phớt lờ vấn đề này, để các đường link giả liên tục đứng trên link thật, và tiền của người dùng cứ thế chảy ra ngoài”. *bình luận* Việc đường dẫn giả *trả tiền quảng cáo* để chiếm vị trí ưu tiên, trong khi người dùng tin vào “top 1 Google” như một bảo chứng an toàn, đang trở thành mắt xích nguy hiểm nhất.

Dữ liệu trên Etherscan cho thấy hai địa chỉ ví bị báo cáo liên quan vụ việc đang nắm giữ khoảng 146 ETH, tương đương khoảng 306.000 USD tại thời điểm ghi nhận. Nền tảng dữ liệu DeFiLlama nhận định *“quảng cáo giả trên Google hiện là một trong những phương thức phishing phổ biến nhất”* nhắm vào người dùng *DeFi* và *ví tự quản lý*.

Tổ chức phi lợi nhuận về bảo mật SEAL cho biết trong báo cáo tháng 4 rằng các vụ *“phishing qua tìm kiếm Google”* đã “tăng rõ rệt” chỉ trong tháng 3. Theo SEAL, kẻ tấn công hoặc chi tiền trực tiếp cho *quảng cáo Google*, hoặc chiếm quyền các tài khoản quảng cáo hợp pháp, sau đó triển khai *“quảng cáo tinh vi”* dẫn tới các trang web giả của *sàn giao dịch* hay *giao thức DeFi* nổi tiếng, qua đó giành được vị trí hiển thị cao hơn cả trang chính thức.

SEAL cho biết đã chặn hơn 356 đường link quảng cáo độc hại dạng này, và nhấn mạnh trong hơn một năm qua, mỗi tuần đều phát hiện số lượng chiến dịch tương đương. Nạn nhân thường được chuyển tới trang web “nhái” gần như y hệt ứng dụng chính thức, rồi toàn bộ lưu lượng kết nối của họ bị chuyển hướng về máy chủ của hacker, dẫn tới việc ký giao dịch độc hại và mất sạch tài sản trong ví.

*bình luận* Đây là dạng *“phishing tương tác cao”* – người dùng tự tay ký giao dịch với hợp đồng giả mạo, nên khả năng được nền tảng hỗ trợ hoàn tiền hoặc bồi thường gần như bằng 0.

Giới bảo mật cho rằng không chỉ *Google* mà cả các nền tảng lớn như *Facebook* cũng đang trở thành kênh phân phối *“quảng cáo giả”* cho các chiến dịch lừa đảo tiền mã hóa. Tháng 5 vừa qua, đã xuất hiện báo cáo về một chiến dịch quảng cáo độc hại nhắm vào người dùng Mac, lợi dụng cả tính năng trò chuyện hợp pháp của chatbot AI Claude để tăng độ tin cậy trước khi phát tán phần mềm độc hại.

Trong bối cảnh *“thị trường tiền mã hóa”* sôi động trở lại, các hình thức *“phishing qua quảng cáo tìm kiếm”* và *“malvertising”* (phát tán mã độc qua quảng cáo) cũng ngày càng tinh vi, tận dụng tối đa lỗ hổng trong khâu kiểm duyệt quảng cáo của nền tảng. *bình luận* Khi *“công cụ tìm kiếm”* và *“mạng xã hội lớn”* chưa thể bịt kín kẽ hở, thói quen *“kiểm tra kỹ địa chỉ URL”*, *chỉ truy cập qua đường dẫn chính thức*, và *ưu tiên bookmark trang đúng* sẽ là lớp phòng vệ đầu tiên – và có thể là duy nhất – bảo vệ người dùng trước các chiến dịch lừa đảo mới.