In der Welt der Kryptowährungen, wo Anonymität und Dezentralisierung das Gesetz sind, vertrauen Nutzer auf ihre eigenen Fähigkeiten. Doch was ist, wenn die Bedrohung nicht von Hackern im Darknet kommt, sondern von den vertrauten Suchergebnissen? Genau so geschah es beim jüngsten, vielbeachteten Vorfall rund um Uniswap.

Unbekannte Täter starteten eine Werbekampagne bei Google, die optisch und funktional die Oberfläche des beliebten dezentralen Börsenplatzes (DEX) kopiert. Das Ergebnis war katastrophal für vertrauensselige Nutzer: Bereits über 400.000 $ in Kryptowährung wurden gestohlen.

Die Mechanik des Betrugs: Vom Klick bis zum Verlust der Mittel

Das Vorgehen der Betrüger ist einfach und effektiv. Ein Experte unter dem Pseudonym b-block enthüllte die Details des Angriffs: Nutzer, die nach dem offiziellen Uniswap suchen, klicken versehentlich auf eine bezahlte Anzeige. Sie werden auf eine Klon-Website weitergeleitet, die dem Original täuschend ähnlich sieht. Sobald das Opfer seine Wallet für den Handel verbindet, leert ein bösartiger Skript sofort deren Inhalt.

Zum Zeitpunkt der Untersuchung wurden auf zwei mit dieser Operation verbundene Adressen 146 ETH (ca. 306.000 $) festgestellt. Dies ist nur ein Teilbetrag, da bereits ein Teil der Mittel abgezogen oder verschoben wurde.

Der blinde Fleck der Suchmaschine

Die Forscherin Stacey Moore hob ein systemisches Problem hervor. Phishing-Anzeigen belegen seit Jahren die oberen Ränge der Suchergebnisse und verdrängen die offiziellen Links von Krypto-Projekten. Google wird so gewissermaßen zu einem unfreiwilligen Mittäter, der den Traffic monetarisiert, der in eine Falle führt.

Experten des Security Alliance (SEAL) bestätigen das Ausmaß des Problems. Allein Ende März blockierten sie über 356 bösartige Links. Der Gesamtschaden durch solche Kampagnen belief sich in kurzer Zeit auf 1,27 Mio. $.

Wie umgehen Hacker die Moderation?

Täter nutzen zwei Hauptwege: den Kauf von Werbung über kompromittierte Konten oder direkte Einkäufe. Der Haupttrick besteht in der Verwendung versteckter Frames. Während der Prüfung durch Google-Moderatoren kann die Website einen korrekten URL anzeigen, aber für den echten Nutzer wird bösartiger Code geladen. Die automatisierten Systeme der Suchmaschine erkennen den Trick nicht, und die Anzeige erhält das grüne Licht.

Diese Geschichte ist nur die Spitze des Eisbergs. Im April wurden auf ähnliche Weise über eine gefälschte Ledger Live-App im App Store 9,5 Mio. $ gestohlen. Während Nutzer nach Bequemlichkeit suchen, verfeinern Hacker ihre Methoden der Social Engineering und verwandeln vertraute Suchanfragen in gefährliche Fallen.