Eine Welle von Uniswap-Google-Ads-Phishing verwandelt gewöhnliche Websuchen in eine Falle für Krypto-Nutzer, da gefälschte gesponserte Links Menschen auf nahezu identische Nachahmerseiten leiten, die Wallets nach einer routinemäßig wirkenden Verbindung leeren können. Auffällig an dem Schema ist, wie wenig technische Zauberei es benötigt: Die Angreifer scheinen sich Sichtbarkeit an der Spitze der Google-Suche zu erkaufen und überlassen dann einem überzeugenden Fake den Rest.
Der Aufbau ist einfach, und genau das ist ein Teil des Erfolgs. Ein Nutzer sucht nach Uniswap, klickt auf etwas, das wie ein legitimes gesponsertes Ergebnis aussieht, und landet auf einer geklonten Handelsoberfläche, die so gestaltet ist, dass sie dem Original gleicht. Von dort an fühlt sich der Ablauf vertraut genug an, dass Opfer letztlich Berechtigungen signieren, die Angreifern die Kontrolle über ihre Vermögenswerte geben.
Laut der mit dieser Kampagne verknüpften Nachverfolgung wurden bereits mindestens 400.000 $ in Krypto gestohlen. Forscher sagen, die Anzeigen seien Teil einer breiteren Malvertising-Offensive, die DeFi-Nutzer über bezahlte Suchplatzierungen statt durch direkte Protokoll-Exploits trifft.
Summary
Gefälschte Uniswap-Anzeigen stehlen Gelder
Diese Phishing-Kampagne nutzte gefälschte Google-Anzeigen, die Uniswap imitierten, und platzierte betrügerische gesponserte Ergebnisse vor Nutzern, die aktiv nach der Plattform suchten. Anstatt den Code oder die Systeme von Uniswap anzugreifen, scheint die Operation die Haustür der Kryptonutzung ins Visier zu nehmen: die Suche.
Dieser Unterschied ist wichtig. Für viele Nutzer, insbesondere Gelegenheits-Trader, ist die Google-Suche der Weg, wie sie DeFi-Plattformen überhaupt erst erreichen. Wenn ein gefälschter Eintrag über dem echten erscheint, erwischt der Betrug die Menschen genau in dem Moment, in dem sie bereit sind, eine Wallet zu verbinden und eine Transaktion durchzuführen.
Wie der Uniswap-Google-Ads-Phishing-Betrug funktioniert
Nutzer, die auf die Anzeige klicken, werden auf eine geklonte Handelsoberfläche geleitet, die Uniswaps Design genau imitiert. Die Seite führt sie dann durch einen Ablauf, der wie eine normale Wallet-Verbindung und Genehmigung aussieht.
Die Gefahr entsteht in der Signaturphase. Was wie eine Standard-Berechtigungsanfrage aussieht, kann Angreifern weitreichenden Zugriff verschaffen und es ihnen ermöglichen, Gelder zu leeren, ohne private Schlüssel zu benötigen.
Praktisch gesehen folgt der Wallet-Drain-Betrug einem erkennbaren Muster:
- Eine gefälschte Uniswap-Anzeige erscheint in den gesponserten Google-Suchergebnissen.
- Der Nutzer landet auf einer gefälschten Oberfläche, verbindet eine Wallet und signiert Berechtigungen.
- Die Gelder werden kurz darauf aus der Wallet abgezogen.
Bisher wurden in der Kampagne mindestens 400.000 $ in Krypto gestohlen.
Wie der Angriff sich im Sichtfeld versteckt
Die Beständigkeit der Operation scheint von mehr als nur einem polierten Design zu kommen. Forscher sagen, die Kampagne nutze Cloaking-Techniken, um Googles Anzeigenprüfsysteme zu umgehen, sodass bösartige Seiten bei automatisierten Prüfungen harmlos wirken, während echte Nutzer der Wallet-leerenden Nutzlast ausgesetzt werden.
Das ist ein zentraler Grund, warum diese Geschichte über einen einzelnen Betrug hinausgeht. Wenn eine Krypto-Phishing-Kampagne wiederholt die Anzeigenprüfung bestehen kann, während sie eine große DeFi-Marke imitiert, deutet das darauf hin, dass die Schwäche nicht nur beim Nutzerfehler liegt. Es geht auch darum, wie bezahlte Suchinfrastruktur missbraucht werden kann, um betrügerische Links an Premium-Positionen zu platzieren.
Cloaking und Anzeigenplatzierung in der Phishing-Kampagne
Laut der mit dem Fall verknüpften Berichterstattung bieten die Angreifer auf Uniswap-bezogene Suchbegriffe, damit ihre Links über legitimen Ergebnissen erscheinen können. Sicherheitsforscher sagen, viele der Seiten würden dann auf Cloaking setzen, um von Googles Systemen nicht entdeckt zu werden.
Der On-Chain-Analyst b-block verfolgte die Kampagne zu verknüpften Wallet-Adressen, die mit der Operation in Verbindung stehen. Die nachverfolgten Wallets hielten zusammen mindestens 146 ETH, im Wert von rund 306.000 $ zum Zeitpunkt der Nachverfolgung. Die gesamten bestätigten Verluste über alle Opfer hinweg haben 400.000 $ überschritten, wobei die Wallet-Bestände und die breitere Verlustzahl nicht als dieselbe Messgröße dargestellt werden.
Diese On-Chain-Spur verleiht der Kampagne ein Maß an Sichtbarkeit, das für webbasierte Betrügereien ungewöhnlich ist. Sie identifiziert nicht die dahinterstehenden Personen, zeigt aber, wie die Diebstähle durch Blockchain-Aktivität miteinander verbunden sind.
Warum sich die Kampagne ausbreitet
Die gefälschten Uniswap-Anzeigen sind kein Einzelfall. Security Alliance, auch bekannt als SEAL, sagt, dass Phishing im Zusammenhang mit Google-Suchanzeigen seit März 2026 stark zugenommen hat. Die Gruppe identifizierte mehr als 356 bösartige Anzeigenlinks, und verwandte Kampagnen haben Verluste in Höhe von 1,27 Millionen $ erreicht.
Dieser breitere Kontext ist wichtig, weil er zeigt, dass es sich nicht mehr nur um ein einmaliges Marken-Imitationsproblem handelt. Es ist ein wiederholbares Drehbuch: Suchanzeigen kaufen, eine vertrauenswürdige Krypto-Oberfläche nachahmen, Nutzer dazu bringen, Wallet-Berechtigungen zu signieren, und dann zu neuen Links wechseln, sobald ältere markiert werden.
Was Forscher über den breiteren Trend sagen
SEALs Erkenntnisse deuten auf einen sich schnell bewegenden Malvertising-Zyklus hin. Bösartige Domains können schnell ausgetauscht werden, was die Durchsetzung erschwert und Angreifern Spielraum gibt, immer wieder in den Suchergebnissen aufzutauchen.
Stacy Muur, Gründerin von Green Dots, gehörte zu denen, die die Kampagne öffentlich meldeten, nachdem sie eines der betrügerischen gesponserten Ergebnisse in der Google-Suche entdeckt hatte. Das trug dazu bei, Aufmerksamkeit auf einen Betrug zu lenken, der ansonsten poliert genug aussieht, um im normalen Surfverhalten unterzugehen.
Das größere Problem für die DeFi-Sicherheit ist, dass diese Art von Phishing nicht davon abhängt, Smart Contracts zu knacken oder Protokoll-Bugs zu finden. Sie nutzt Vertrauen, Gewohnheit und die Mechanismen der Online-Werbung aus. Für Krypto-Nutzer bedeutet das, dass die Bedrohung außerhalb der Blockchain ebenso stark präsent ist wie auf ihr.
Und für große Plattformen wie Uniswap wächst der Druck an einem Ort, den sie nicht vollständig kontrollieren: den Suchergebnissen, an denen viele Nutzer ihre Reise beginnen.
