กระแสของการฟิชชิงผ่านโฆษณา Google Ads ปลอมของ Uniswapกำลังเปลี่ยนการค้นหาบนเว็บทั่วไปให้กลายเป็นกับดักสำหรับผู้ใช้คริปโต โดยลิงก์สปอนเซอร์ปลอมส่งผู้ใช้ไปยังหน้าเลียนแบบที่เกือบเหมือนของจริงซึ่งสามารถดูดเงินออกจากกระเป๋าได้หลังจากการเชื่อมต่อที่ดูเหมือนปกติ สิ่งที่ทำให้แผนการนี้น่าจับตามองคือมันแทบไม่ต้องใช้เทคนิคซับซ้อนใดๆ ผู้โจมตีดูเหมือนเพียงแค่ซื้อพื้นที่ให้แสดงบนสุดใน Google Search แล้วปล่อยให้หน้าเลียนแบบที่น่าเชื่อถือทำงานที่เหลือ
รูปแบบการโจมตีนั้นเรียบง่าย และนั่นคือส่วนหนึ่งที่ทำให้มันได้ผล ผู้ใช้ค้นหาคำว่า Uniswap คลิกสิ่งที่ดูเหมือนเป็นผลการค้นหาแบบสปอนเซอร์ที่ถูกต้องและไปยังอินเทอร์เฟซเทรดที่ถูกโคลนขึ้นมาให้เหมือนของจริง จากนั้นลำดับขั้นตอนต่างๆ ก็ให้ความรู้สึกคุ้นเคยพอที่เหยื่อจะลงท้ายด้วยการเซ็นอนุญาตที่มอบสิทธิ์ควบคุมสินทรัพย์ให้กับผู้โจมตี
มีคริปโตอย่างน้อย 400,000 ดอลลาร์ที่ถูกขโมยไปแล้ว ตามข้อมูลการติดตามที่เชื่อมโยงกับแคมเปญนี้ นักวิจัยระบุว่าโฆษณาเหล่านี้เป็นส่วนหนึ่งของการโจมตีแบบ malvertising ในวงกว้างที่เล่นงานผู้ใช้ DeFi ผ่านตำแหน่งโฆษณาแบบค้นหาที่เสียเงินซื้อ แทนที่จะเป็นการโจมตีช่องโหว่ของโปรโตคอลโดยตรง
Summary
โฆษณา Uniswap ปลอมกำลังขโมยเงินทุน
แคมเปญฟิชชิงนี้ใช้โฆษณา Google ปลอมที่สวมรอยเป็น Uniswap วางผลการค้นหาแบบสปอนเซอร์ปลอมไว้ตรงหน้าผู้ใช้ที่กำลังมองหาแพลตฟอร์มนี้โดยตรง แทนที่จะโจมตีโค้ดหรือระบบของ Uniswap โดยตรง ปฏิบัติการนี้ดูเหมือนจะมุ่งเป้าไปที่ “ประตูหน้า” ของการใช้งานคริปโต นั่นคือการค้นหา
ความแตกต่างนี้สำคัญ สำหรับผู้ใช้จำนวนมาก โดยเฉพาะเทรดเดอร์ทั่วไป Google Search คือวิธีที่พวกเขาเข้าถึงแพลตฟอร์ม DeFi ตั้งแต่แรก หากรายชื่อปลอมปรากฏเหนือของจริง กลโกงก็จะดักผู้ใช้ได้ในจังหวะที่พวกเขาพร้อมจะเชื่อมต่อกระเป๋าและทำธุรกรรมพอดี
กลโกงฟิชชิงผ่าน Google Ads ของ Uniswap ทำงานอย่างไร
ผู้ใช้ที่คลิกโฆษณาจะถูกส่งไปยังอินเทอร์เฟซเทรดที่ถูกโคลนซึ่งเลียนแบบดีไซน์ของ Uniswap อย่างใกล้เคียง หน้าเว็บจะพาผู้ใช้ผ่านขั้นตอนที่ดูเหมือนการเชื่อมต่อและการอนุมัติกระเป๋าเงินตามปกติ
อันตรายเกิดขึ้นในขั้นตอนการเซ็นธุรกรรม สิ่งที่ดูเหมือนคำขออนุญาตมาตรฐานสามารถมอบสิทธิ์การเข้าถึงในวงกว้างให้ผู้โจมตี ทำให้พวกเขาดูดเงินออกจากกระเป๋าได้โดยไม่ต้องใช้ private key
ในทางปฏิบัติ กลโกงดูดเงินจากกระเป๋านี้มีรูปแบบที่คุ้นตา:
- โฆษณา Uniswap ปลอมปรากฏในผลการค้นหาแบบสปอนเซอร์ของ Google
- ผู้ใช้ไปยังอินเทอร์เฟซปลอม เชื่อมต่อกระเป๋า และเซ็นอนุญาต
- จากนั้นเงินจะถูกย้ายออกจากกระเป๋าในเวลาไม่นานหลังจากนั้น
จนถึงตอนนี้ มีคริปโตอย่างน้อย 400,000 ดอลลาร์ที่ถูกขโมยไปในแคมเปญนี้
การโจมตีกำลังซ่อนตัวอย่างไรต่อหน้าต่อตา
ความต่อเนื่องของปฏิบัติการนี้ดูเหมือนจะมาจากมากกว่าดีไซน์ที่เนี๊ยบ นักวิจัยระบุว่าแคมเปญนี้ใช้เทคนิคการปกปิด (cloaking) เพื่อหลบเลี่ยงระบบตรวจสอบโฆษณาของ Google ช่วยให้หน้าเว็บอันตรายดูเหมือนไม่มีพิษภัยระหว่างการตรวจสอบอัตโนมัติ ในขณะที่ผู้ใช้จริงกลับถูกเปิดให้เจอกับ payload ที่ดูดเงินจากกระเป๋า
นั่นคือเหตุผลสำคัญที่ทำให้เรื่องนี้เกินกว่าจะเป็นแค่กลโกงเดียว หากแคมเปญฟิชชิงคริปโตสามารถผ่านการตรวจสอบโฆษณาได้ซ้ำๆ ขณะสวมรอยเป็นแบรนด์ DeFi รายใหญ่ แสดงให้เห็นว่าจุดอ่อนนั้นไม่ใช่แค่ความผิดพลาดของผู้ใช้เท่านั้น แต่ยังเกี่ยวกับวิธีที่โครงสร้างพื้นฐานของโฆษณาแบบค้นหาที่เสียเงินซื้อสามารถถูกนำไปใช้ในทางที่ผิดเพื่อวางลิงก์ปลอมในตำแหน่งพรีเมียมได้ด้วย
การปกปิด (cloaking) และการวางตำแหน่งโฆษณาในแคมเปญฟิชชิง
ตามรายงานที่เชื่อมโยงกับกรณีนี้ ผู้โจมตีประมูลคำค้นหาที่เกี่ยวข้องกับ Uniswap เพื่อให้ลิงก์ของตนปรากฏเหนือผลการค้นหาที่ถูกต้อง นักวิจัยด้านความปลอดภัยระบุว่าเว็บไซต์จำนวนมากในแคมเปญนี้พึ่งพาการปกปิด (cloaking) เพื่อหลีกเลี่ยงการตรวจจับโดยระบบของ Google
นักวิเคราะห์ on-chain นามว่า b-block ติดตามแคมเปญนี้ไปยังที่อยู่กระเป๋าเงินที่เชื่อมโยงกับปฏิบัติการ กระเป๋าที่ติดตามได้ถือครองรวมกันอย่างน้อย 146 ETH คิดเป็นมูลค่าประมาณ 306,000 ดอลลาร์ในขณะติดตาม ยอดความสูญเสียที่ยืนยันแล้วทั้งหมดในหมู่เหยื่อเกิน 400,000 ดอลลาร์ แม้ว่ายอดเงินในกระเป๋าและตัวเลขความสูญเสียโดยรวมจะไม่ได้ถูกนำเสนอว่าเป็นตัวชี้วัดเดียวกันก็ตาม
ร่องรอยบนเชนนี้ทำให้แคมเปญมีระดับการมองเห็นที่ผิดปกติสำหรับกลโกงบนเว็บทั่วไป มันไม่ได้ระบุตัวบุคคลที่อยู่เบื้องหลัง แต่แสดงให้เห็นว่าการขโมยเชื่อมโยงกันผ่านกิจกรรมบนบล็อกเชนอย่างไร
เหตุใดแคมเปญจึงแพร่กระจาย
โฆษณา Uniswap ปลอมเหล่านี้ไม่ใช่เหตุการณ์โดดเดี่ยว Security Alliance หรือ SEAL ระบุว่าการฟิชชิงที่เชื่อมโยงกับโฆษณา Google Searchพุ่งสูงขึ้นตั้งแต่เดือนมีนาคม 2026 กลุ่มนี้ระบุลิงก์โฆษณาอันตรายได้มากกว่า 356 ลิงก์ และแคมเปญที่เกี่ยวข้องสร้างความสูญเสียรวมถึง 1.27 ล้านดอลลาร์
บริบทที่กว้างขึ้นนี้สำคัญเพราะแสดงให้เห็นว่านี่ไม่ใช่แค่ปัญหาการสวมรอยแบรนด์ครั้งเดียวอีกต่อไป แต่มันคือคู่มือปฏิบัติการที่ทำซ้ำได้: ซื้อโฆษณาค้นหา เลียนแบบอินเทอร์เฟซคริปโตที่น่าเชื่อถือ ผลักดันให้ผู้ใช้เซ็นอนุญาตกระเป๋าเงิน จากนั้นก็หมุนเปลี่ยนไปใช้ลิงก์ใหม่เมื่อของเก่าถูกแจ้งเตือน
นักวิจัยพูดอะไรเกี่ยวกับแนวโน้มที่กว้างขึ้น
ข้อค้นพบของ SEAL ชี้ให้เห็นถึงวงจร malvertising ที่เคลื่อนไหวรวดเร็ว โดเมนอันตรายสามารถถูกสลับเปลี่ยนได้อย่างรวดเร็ว ทำให้การบังคับใช้กฎยากขึ้น และเปิดช่องให้ผู้โจมตีกลับมาปรากฏในผลการค้นหาได้ซ้ำแล้วซ้ำเล่า
Stacy Muur ผู้ก่อตั้ง Green Dots เป็นหนึ่งในผู้ที่ออกมาแจ้งเตือนแคมเปญนี้ต่อสาธารณะหลังจากพบหนึ่งในผลการค้นหาแบบสปอนเซอร์ปลอมบน Google Search นั่นช่วยดึงความสนใจมาสู่กลโกงที่มิฉะนั้นจะดูเนียนพอที่จะกลมกลืนไปกับพฤติกรรมการท่องเว็บตามปกติ
ประเด็นที่ใหญ่กว่าสำหรับความปลอดภัยของ DeFi คือการฟิชชิงลักษณะนี้ไม่จำเป็นต้องพึ่งการเจาะ smart contract หรือหาบั๊กในโปรโตคอล มันฉวยโอกาสจากความไว้วางใจ ความเคยชิน และกลไกของโฆษณาออนไลน์ สำหรับผู้ใช้คริปโต นั่นหมายความว่าภัยคุกคามไม่ได้อยู่แค่บนบล็อกเชน แต่อยู่ภายนอกบล็อกเชนพอๆ กัน
และสำหรับแพลตฟอร์มรายใหญ่เช่น Uniswap แรงกดดันกำลังเพิ่มขึ้นในพื้นที่ที่พวกเขาไม่สามารถควบคุมได้เต็มที่: ผลการค้นหาที่ผู้ใช้จำนวนมากเริ่มต้นการเดินทางของตนจากตรงนั้น
