Uniswap创始人就欺诈广告发出严重警告 用户因钓鱼网站损失数百万美元资产

Uniswap创始人Hayden Adams对出现在搜索引擎和应用市场的“欺诈性Uniswap广告”发出强烈警告。事实上,近期一名用户因受此类钓鱼网站欺骗,一次性损失了数十万美元,相当于数亿韩元资产的案例被公开,引发巨大反响。

Adams的警告,是在今年1月加密货币行业因各类欺诈和钓鱼攻击被盗金额达到近11个月最高水平后发出的。Adams于21日在X上指出:“欺诈广告即使被举报多年,也仍然不断出现。”他表示:“即使在等待应用商店审核的几个月里,欺诈性的Uniswap应用也赫然在列。”

目前,钓鱼组织正针对谷歌等主要搜索引擎上的“Uniswap”等关键词精准投放广告。其手法是当用户搜索Uniswap时,顶部会出现“看似官方”的广告链接,误以为是真品的用户连接钱包并点击交易确认后,资产便全部被转移。

资深用户亦难幸免:一次点击损失巨额资产

X用户“Ika”最近发文“我失去了一切,现在该怎么办?”,公开了自己遭受的损失案例。其钱包价值规模达到“mid six-figure”级别,即大约数十万美元,相当于亿级韩元资产。

Ika写道:“两年来我一直严格遵守纪律行事。一半是为了在Web3行业找工作,一半是想尽快赚够钱达到不需要工作的状态。”尽管如此,钱包在某个时刻还是被彻底清空。

他表示:“钱包被盗不是运气不好。我相信这是长期错误决策累积的‘最终结果’。”这不是一次失误,而是在安全习惯、验证过程、网站确认等方面积累的“小漏洞”最终导致了灾难。

Ika发布的长篇经历,是在他截图分享了包含虚假Uniswap链接的谷歌搜索结果顶部页面后上传的。结果显示,顶部显示的链接巧妙地模仿了官方域名,他显然将其误认为是真正的Uniswap界面。

针对Uniswap的钓鱼攻击并非首次

针对Uniswap的钓鱼攻击并非首次。2024年10月,有报道称诈骗者利用Uniswap网站“域名权威性”相对较低的特点,制作了与真实网站几乎一模一样的钓鱼网站。

当时,虚假网站外观上与正式Uniswap几乎难以区分,但细节按钮构成不同。原本应该是“开始使用”的位置被换成了“连接钱包”按钮,而“阅读文档”的位置则被换成了“跨链桥”按钮。其设计目的是诱导用户自然地连接钱包并转移资产。

由此可见,这种利用像Uniswap这样知名DeFi协议声誉的钓鱼攻击,正演变为不仅针对新手、也针对熟练用户的“精密社会工程学攻击”。

整体市场警报长鸣:一月损失金额创近期纪录

纵观整个市场,警报也已拉响。根据链上数据,过去1月份,因各种黑客攻击、欺诈和钓鱼而损失的加密货币规模达3.703亿美元,创下近11个月以来的单月最高纪录。这与前一年同期相比,增幅接近4倍。

区块链安全公司CertiK分析称,在对1月份汇总的40起攻击/欺诈案例进行分析后发现,总损失金额的“绝大部分”来自单一受害者。该受害者估计因社会工程学手法诱导的攻击损失了约2.84亿美元。

社会工程学攻击的目标并非技术漏洞,而是“人”。攻击者伪装成官方项目团队成员、投资者或合作伙伴以获取信任,然后自然地诱导点击链接、连接钱包、授权权限等,从而盗取资产。Uniswap仿冒广告或搜索结果钓鱼也属于此类。

平台责任与用户防线:安全挑战日益严峻

以此事件为契机,不仅是Uniswap等DeFi协议,谷歌等搜索及广告平台的责任问题也预计将再次被提上议程。因为尽管针对“欺诈广告”的举报长期不断,钓鱼链接仍出现在搜索结果顶部。

但现实是,实时过滤所有钓鱼链接存在明显困难。因此,保护实际资产的“最后防线”仍在于用户个人的观点正得到强化。尤其是:

- 确认搜索结果顶部的“广告”标识- 核对域名拼写与官方地址- 连接钱包或授权前再次检查

专家警告,若不遵守这类基本检查清单,即使是熟练用户也可能因一次失误而损失多年积累的资产。

Uniswap仿冒欺诈和1月份的大规模钓鱼损失事件提醒人们,随着DeFi和Web3生态系统的成长,安全风险也同步增大。若不能将监管、平台责任和用户教育结合起来,重新制定应对策略,类似的“失去一切”案例未来很可能继续重演。

安全警示:一次疏忽足以失去全部资产

搜索框中的一行输入,看似熟悉的一个按钮点击。正如Uniswap钓鱼案例所示,DeFi时代的风险始终瞄准着“人的失误”。辨别真伪的眼光、连接钱包前再次怀疑的习惯,如今已非选择,而是关乎生存的必备技能。

在未来的DeFi与Web3市场中,真正的“最后防线”终究是用户自己。若想在搜索Uniswap之前,就系统性地学习需要检查哪些风险,现在正是开始之时。

常见安全问答

问:如何确认搜索进入的Uniswap是真网站?答:务必仔细核对浏览器地址栏的官方域名,警惕顶部标注“广告”的链接,并通过官方社交媒体渠道验证链接真实性。

问:要避免钱包被盗,至少应遵守什么?答:绝不分享助记词或私钥;对任何索要授权或签名的请求保持高度警惕;仅连接可信赖的网站;使用硬件钱包存储大额资产;定期检查并撤销不必要的代币授权。

问:如果不慎将钱包连接到了钓鱼网站,应立即做什么?答:立即断开钱包与可疑网站的连接;如果可能,立即将资产转移到新生成的安全钱包地址;检查并尽快撤销在该网站上授予的所有权限;保持冷静,避免慌乱中做出进一步错误操作。