Des escrocs ont volé au moins 400 000 dollars en diffusant de fausses publicités Uniswap sur Google Search. Le piège est simple et redoutable : l’utilisateur cherche le vrai protocole, clique sur un résultat sponsorisé et tombe sur une copie presque parfaite. Dans la crypto, quelques secondes d’inattention peuvent suffire à signer une transaction fatale.
Uniswap usurpé dans les résultats sponsorisés
Cette affaire prolonge la montée des attaques crypto qui visent l’environnement de travail et de navigation. L’alerte est venue de l’analyste on-chain b-block, qui a signalé lundi un faux site Uniswap drainant les fonds de plusieurs portefeuilles. Stacy Muur, fondatrice de l’agence Web3 Green Dots, a ensuite partagé une capture d’écran montrant une publicité Google sponsorisée qui usurpait l’identité du célèbre exchange décentralisé. Elle a dénoncé un problème récurrent : de faux liens continuent parfois d’apparaître au-dessus des vrais résultats.
Selon les données reprises par KuCoin et Phemex, les attaquants auraient déjà accumulé au moins 400 000 dollars. Deux adresses signalées détenaient environ 146 ETH, soit près de 306 000 dollars au moment du signalement. Le montant exact peut bouger avec le prix de l’ether, mais l’essentiel est ailleurs : l’attaque a fonctionné grâce à la confiance accordée aux premiers résultats de recherche.
Cette méthode n’est pas nouvelle. Elle reste pourtant efficace. Beaucoup d’utilisateurs pensent qu’un lien sponsorisé est validé ou plus fiable. C’est une erreur coûteuse. Sur Google, “sponsorisé” veut dire publicité. Cela ne veut pas dire “officiel”.
Le phishing crypto devient industriel
La Security Alliance, connue sous le nom de SEAL, suit depuis plusieurs mois des campagnes malveillantes utilisant Google Ads pour viser les utilisateurs crypto. Dans son analyse publiée sur SEAL Radar, l’organisation explique que des attaquants achètent directement des espaces publicitaires ou compromettent des comptes d’annonceurs légitimes afin de diffuser de fausses pages imitant des wallets, des DEX ou des services Web3 populaires.
Le mécanisme est bien rodé. L’annonce affiche une URL qui semble crédible. L’utilisateur clique. Il arrive sur une interface visuellement très proche du vrai service. Ensuite, le site pousse une connexion de wallet, une autorisation suspecte ou une signature mal comprise. Le piège ne demande pas toujours de seed phrase. Parfois, une simple approbation suffit à donner le contrôle des fonds.
SEAL indique avoir bloqué plus de 356 liens publicitaires malveillants en quelques semaines. L’organisation estime aussi que ces campagnes ont causé 1,27 million de dollars de pertes entre le 13 et le 30 mars. Ce n’est donc pas une attaque isolée contre Uniswap. C’est une mécanique continue, presque une petite industrie noire.
Google reste un point faible pour les utilisateurs Web3
La critique vise aussi Google. Les escrocs exploitent la logique publicitaire du moteur de recherche. Ils paient pour apparaître en haut, parfois devant les vrais liens. Dans la finance traditionnelle, ce serait déjà dangereux. Dans la crypto, c’est encore plus violent, car les transactions signées sont difficiles à annuler.
Le problème ne se limite pas à Google. Facebook et d’autres plateformes publicitaires ont aussi servi à diffuser de fausses pages imitant des marques connues. Le CIRT de Jamaïque a déjà alerté sur des campagnes de publicités malveillantes imitant des plateformes crypto pour voler fonds et identifiants. La leçon est claire : les plateformes publicitaires sont devenues des portes d’entrée pour les arnaques numériques.
Dans le cas d’Uniswap, le danger est amplifié par l’habitude des utilisateurs DeFi. Beaucoup se connectent vite, changent de réseau, signent, approuvent, puis passent à une autre transaction. Les escrocs comptent sur cette vitesse. Ils ne cherchent pas toujours à convaincre longtemps. Ils veulent créer un clic crédible au bon moment.
La protection commence avant la connexion du wallet
La première règle est simple : ne jamais cliquer sur une publicité pour accéder à un protocole crypto. Il vaut mieux taper l’adresse officielle déjà vérifiée ou utiliser un favori enregistré. Ce réflexe paraît banal. Il peut pourtant sauver un portefeuille entier.
Il faut aussi lire chaque demande de signature. Une connexion à un site ne devrait pas donner le droit de déplacer des fonds. Une approbation illimitée doit toujours faire réfléchir. Les utilisateurs actifs devraient aussi vérifier régulièrement leurs autorisations de tokens et révoquer celles qui ne servent plus.
Enfin, les projets crypto doivent renforcer leur défense hors blockchain. La sécurité ne se joue plus seulement dans les smart contracts. Elle se joue aussi dans le référencement, les annonces sponsorisées, les noms de domaine, les signalements rapides et l’éducation des utilisateurs. Une arnaque peut imiter l’interface sans toucher au protocole. Et pourtant, les pertes sont bien réelles. C’est le même angle mort que l’on retrouve lorsque un module tiers DeFi crée un risque de réputation, ou quand la sécurité des dépôts clients dépend aussi des pratiques d’infrastructure.
La morale est rude, mais utile. Dans la crypto, le danger n’attend pas toujours derrière une faille de code complexe. Il peut commencer dans un résultat sponsorisé, avant même que le wallet ne soit connecté. Et comme l’a montré la compromission d’une clé admin chez Echo Protocol, une seule autorisation mal contrôlée peut suffire à transformer une interface familière en piège.
En bref
- De fausses publicités Uniswap sur Google ont permis de voler au moins 400 000 dollars.
- Les escrocs utilisent des liens sponsorisés pour rediriger les victimes vers des clones de sites crypto.
- Le bon réflexe reste de passer par des favoris vérifiés, jamais par une annonce publicitaire.
