Des escrocs ont mis la main sur au moins 400 000 $ en diffusant de fausses publicités Google qui imitent le protocole Uniswap. L’analyste on-chain b-block a donné l’alerte : les victimes cliquent sur des liens sponsorisés présentés comme officiels, arrivent sur des sites contrefaits et se font vider leur portefeuille. La Security Alliance (SEAL) confirme que ce type d’attaque est en forte progression depuis mars.
En bref
Cette campagne illustre un glissement tactique majeur : les attaquants délaissent les vecteurs techniques complexes pour cibler directement le moteur de recherche le plus utilisé au monde. Acheter ou compromettre un compte publicitaire Google coûte bien moins cher que d’exploiter une faille de smart contract, pour un rendement comparable. L’enjeu dépasse Uniswap : n’importe quel protocole DeFi visible peut être imité de la même façon.
Comment fonctionne l’attaque ?
Le mécanisme est simple, ce qui le rend redoutable. Un utilisateur cherche “Uniswap” dans Google et voit en premier résultat un lien sponsorisé avec l’apparence exacte du site officiel. L’URL peut différer d’un seul caractère, parfois même d’un glyphe Unicode indiscernable à l’œil nu.
Une fois sur le faux site, deux variantes sont documentées. La première invite à connecter son wallet et à signer une transaction malveillante qui transfère les droits d’approbation sur les tokens. La seconde redirige vers une copie de l’interface de swap où les paramètres de destination sont modifiés côté attaquant.
Stacy Muur, fondatrice de l’agence Web3 Green Dots, précise que les fonds proviennent effectivement d’utilisateurs ayant cliqué sur des liens sponsorisés, pas sur des résultats organiques. Ce détail est important : les victimes n’ont commis aucune erreur de frappe, elles ont simplement fait confiance à Google.
Ce type de vecteur n’est pas nouveau. En 2022 déjà, des hackers utilisaient le référencement via Google Sites et Microsoft Azure pour piéger des utilisateurs crypto. La différence aujourd’hui : les annonceurs malveillants passent directement par le réseau publicitaire officiel, rendant la détection encore plus difficile.
Pourquoi Google Ads est devenu le terrain de chasse privilégié ?
SEAL souligne une hausse marquée des campagnes de phishing via Google Search depuis mars, sans donner de chiffre précis sur le volume global. Deux méthodes coexistent : acheter directement des emplacements publicitaires sous une fausse identité, ou compromettre des comptes d’annonceurs légitimes pour y injecter des liens malveillants.
La seconde technique est particulièrement difficile à contrer car le compte piraté a un historique de confiance auprès de Google. Les systèmes de détection automatique de la plateforme font face à des identités qui semblent légitimes jusqu’à ce que les signaux d’abus deviennent trop forts.
Pour les attaquants, le retour sur investissement est attractif. L’achat d’un emplacement publicitaire sur un mot-clé comme “Uniswap” peut coûter quelques dollars par clic. Avec un taux de conversion même faible et des portefeuilles DeFi qui contiennent en moyenne plusieurs milliers de dollars, la marge reste très favorable.
Les fausses applications Uniswap sur Google Play avaient déjà illustré ce même principe : copier l’image d’une marque de confiance pour tromper des utilisateurs moins vigilants. L’arnaque par faux jetons DeFi sur Uniswap relève d’une logique similaire, mais le vecteur publicitaire touche un public plus large.
Quels réflexes adopter pour éviter ces pièges ?
La règle la plus efficace : ne jamais accéder à une interface DeFi via un lien publicitaire, même si l’URL semble exacte. Taper directement app.uniswap.org dans la barre d’adresse ou utiliser un favori préalablement vérifié.
Quelques vérifications complémentaires réduisent le risque :
- Contrôler le certificat SSL et l’URL complète, caractère par caractère, avant toute connexion de wallet.
- Utiliser un wallet distinct, avec des fonds limités, pour les interactions DeFi régulières.
- Activer les alertes de transaction sur les tokens à forte valeur : un swap non initié devient visible immédiatement.
- Vérifier les autorisations accordées sur un outil comme Etherscan et révoquer celles qui semblent inutiles.
L’essor des soft rug pulls en DeFi rappelle que les attaques les plus rentables combinent tromperie visuelle et mécanique on-chain simple. Le phishing via Google Ads appartient à cette catégorie : pas besoin d’exploiter un bug de protocole, l’ingénierie sociale suffit.
Lecture CryptoActu La campagne Uniswap illustre une tendance structurelle : les attaquants déplacent leur effort vers les couches de distribution (moteurs de recherche, app stores) plutôt que vers les protocoles eux-mêmes, devenus plus robustes techniquement. Tant que Google Ads ne déploiera pas de vérification d’identité renforcée pour les annonceurs crypto, ce vecteur restera ouvert. 400 000 $ en une campagne, c’est un signal d’alarme, pas un accident isolé.
À retenir
Des fausses publicités Google imitant Uniswap ont permis de voler au moins 400 000 $. SEAL alerte sur une hausse de ce type d’attaque depuis mars. À surveiller : la réaction de Google sur la vérification des annonceurs crypto, et d’éventuels nouveaux protocoles ciblés avec la même méthode.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash