Фейковая реклама криптосервисов в поиске остается одним из заметных способов кражи средств у пользователей. По данным ForkLog, неизвестные разместили в Google вредоносную рекламу, которая имитировала интерфейс децентрализованной биржи Uniswap. Аналитики оценили ущерб как минимум в $400 000.
Для обычного пользователя эта история важна тем, что опасность может начинаться не с подозрительного сообщения в Telegram, а с привычного действия: человек ищет известный сервис в Google, нажимает на верхний результат и попадает на сайт-клон. Если после этого подключить кошелек и подписать вредную транзакцию, деньги могут уйти за несколько секунд.
Такие случаи показывают: даже знакомое название, рекламная пометка и похожий интерфейс не подтверждают безопасность сайта. Перед подключением кошелька нужно проверять не только бренд, но и точный адрес страницы.
ForkLog сообщил, что злоумышленники запустили в Google рекламу, имитирующую Uniswap. По данным ончейн-аналитика b-block, сайт-клон опустошал кошельки пользователей после подключения. В связанных с кампанией адресах, по его оценке, находилось не менее $400 000.
Исследовательница Stacy Muur также обратила внимание на фишинговую рекламу Uniswap в Google и указала, что такие объявления могут оказываться выше официальных ссылок. Это особенно опасно для пользователей, которые привыкли открывать первый результат выдачи и не проверяют URL вручную.
Security Alliance (SEAL) ранее сообщала о росте вредоносной рекламы, нацеленной на DeFi-приложения, кошельки и другие криптосервисы. По данным SEAL, в период с 13 по 30 марта 2026 года было заблокировано более 356 вредоносных рекламных URL, а подтвержденный ущерб от кампаний оценивался примерно в $1,27 млн.
Многие пользователи считают, что риск начинается только после перехода по неизвестной ссылке из личного сообщения. Но в этой схеме точкой входа становится поисковая реклама. Человек может искать официальный сайт Uniswap, кошелька, обменника или DeFi-платформы, но нажать на рекламный результат, который ведет на поддельный домен.
Сайт-клон может выглядеть почти как настоящий: похожий дизайн, кнопка подключения кошелька, знакомые логотипы, привычные названия сетей и токенов. Отличие часто скрывается в домене, редиректе, всплывающем окне кошелька или содержании транзакции.
Для аудитории Clofx это важный пример: проверять нужно не только брокеров и инвестиционные платформы, но и любые сайты, где пользователь подключает кошелек, вводит данные или подписывает операции. Даже если сервис известный, поддельная реклама может привести не к нему, а к копии.
Первый риск - доверие к верхней ссылке в поиске. Рекламный результат может выглядеть убедительно и находиться выше официального сайта. Но само место в выдаче не доказывает, что ссылка безопасна.
Второй риск - сайт-клон. Мошенники копируют интерфейс популярных криптосервисов, чтобы пользователь не заметил подмену. Иногда адрес отличается одной буквой, дополнительным словом, другой доменной зоной или незаметным редиректом.
Третий риск - wallet drainer. Это вредоносная механика, которая пытается заставить пользователя подписать транзакцию или разрешение, передающее доступ к активам. Пользователь может думать, что просто подключает кошелек, но фактически подтверждает опасное действие.
Четвертый риск - скрытая техническая подмена. SEAL описывает кампании, где злоумышленники используют скомпрометированные рекламные аккаунты, скрытые фреймы и методы обхода автоматической проверки рекламы. Для пользователя такая схема может выглядеть как обычная страница.
Пятый риск - повторяемость атаки. Если одну рекламу удалили, мошенники могут быстро запустить новую, сменить домен, аккаунт рекламодателя или целевой бренд. Поэтому нельзя полагаться только на то, что платформа или поисковик уже все заблокировали.
Лучше не переходить на криптосервисы через рекламные объявления. Официальные сайты стоит открывать через закладки, проверенные ссылки из официальных соцсетей проекта, документацию, CoinGecko, DeFiLlama или другие надежные каталоги.
Перед подключением кошелька проверьте домен вручную. Важно смотреть не только название в заголовке страницы, но и полный URL в адресной строке. Поддельный сайт может использовать похожее написание, дополнительные символы или домен, который визуально напоминает официальный.
Если сайт просит подключить кошелек сразу после открытия, не торопитесь. Сначала убедитесь, что вы на официальной странице. Проверьте, совпадает ли домен с тем, который указан в официальных каналах проекта.
Для регулярного использования DeFi лучше создать отдельные закладки на проверенные сайты. Это снижает вероятность попасть на фейковую рекламу или поддельный результат поиска.
Перед подтверждением операции внимательно смотрите, что именно просит кошелек. Если вместо обычного подключения появляется запрос на approval, permit, setApprovalForAll или другую операцию с доступом к токенам, это повод остановиться.
Не подписывайте транзакции, смысл которых не понимаете. В DeFi одна подпись может дать разрешение на перевод токенов, NFT или других активов. Особенно осторожно стоит относиться к бесконечным разрешениям на списание.
Для тестовых действий используйте отдельный кошелек с небольшой суммой. Основной кошелек, где хранятся значимые активы, не стоит подключать к новым сайтам, рекламным ссылкам или сервисам, которые вы проверяете впервые.
Периодически проверяйте выданные разрешения и отзывайте лишние approvals через проверенные инструменты. Это не гарантирует полную защиту, но снижает риск, если ранее кошелек уже подключался к сомнительным сайтам.
Если вы поняли, что открыли сайт-клон, не подписывайте новые действия и сразу закройте страницу. Если транзакция уже была подписана, проверьте историю операций и выданные разрешения.
При подозрении на вредный approval стоит как можно быстрее отозвать разрешение через надежный сервис и перевести оставшиеся активы на новый кошелек. Если средства уже ушли, сохраните адрес сайта, hash транзакции, адреса получателей, скриншоты и время события.
Не доверяйте людям, которые после инцидента обещают вернуть деньги за предоплату. Схемы “возврата криптовалюты” часто становятся вторым этапом обмана.
Если платеж или покупка токенов проходили через централизованную площадку, можно обратиться в поддержку этой площадки и зафиксировать incident report. Но в случае прямой подписи транзакции в кошельке возврат часто затруднен, поэтому профилактика важнее реакции после кражи.
Потому что она может оказаться выше официального сайта и выглядеть как обычный результат поиска. Пользователь видит знакомое название, переходит по ссылке и попадает на сайт-клон, который просит подключить кошелек.
Проверьте полный домен в адресной строке, а не только внешний вид страницы. Сравните ссылку с официальными источниками проекта. Любые лишние символы, странная доменная зона, редиректы и срочные просьбы подписать транзакцию должны насторожить.
Это вредоносная механика, которая пытается получить доступ к активам через подпись транзакции или разрешение на списание. Пользователь может думать, что просто подключает кошелек, но фактически дает злоумышленнику возможность вывести средства.
Безопаснее использовать сохраненные закладки и ссылки из официальных каналов проекта. Если вы все же ищете сервис через Google, не нажимайте автоматически на рекламный результат и обязательно проверяйте URL перед подключением кошелька.
Сразу проверьте выданные разрешения, отзовите подозрительные approvals и переведите оставшиеся активы на новый кошелек. Сохраните hash транзакции, адреса и скриншоты. Не платите за “возврат средств” неизвестным помощникам.
История с фейковой рекламой Uniswap показывает, что даже поиск известного криптосервиса может привести пользователя на опасный сайт. Рекламная ссылка, знакомый интерфейс и логотип проекта не гарантируют безопасность.
Перед подключением кошелька важно проверить домен, источник ссылки и содержание транзакции. Если есть сомнения, лучше остановиться, открыть сайт через официальный канал и не подписывать действия, смысл которых не понятен.