假廣告盤據搜尋榜首，超過 40 萬美元瞬間蒸發

近期，分散式金融（DeFi）產業再度面臨嚴峻的安全挑戰。一場精心策劃的釣魚攻擊正透過搜尋引擎的付費廣告機制，將目標鎖定在 Uniswap 使用者身上。根據鏈上數據分析師 b-block 發佈的警告，這波以假亂真的廣告活動已經導致多個加密貨幣錢包遭到洗劫，受害金額預估突破 40 萬美元。

這起事件的核心在於詐騙集團惡意濫用 Google 的廣告基礎設施。攻擊者透過購買包含「Uniswap」等品牌關鍵字的贊助廣告，成功讓惡意釣魚連結的排名超越官方正規網站，直接曝光在搜尋結果的最頂端。毫無防備的使用者點擊這些連結後，便會落入精心設計的陷阱之中。

進一步的區塊鏈數據追蹤顯示，目前有兩個被標記的核心作惡錢包地址：

• 0x37925684BA178821b4436E06e67f5dBD6cfA49Bb
• 0x2fC25F46cC49D226eF92E9A7665f3d2821F3c5E2

正在大肆斂財。截至目前，這兩個地址合計持有高達 146 枚以太幣（$ETH），折合價值約 30.6 萬美元。

針對此一亂象，Web3 行銷機構 Green Dots 的創辦人 Stacy Muur 提出強烈抨擊。她公開展示了搜尋引擎贊助廣告欄位充斥偽造網站的截圖，批評 Google 長年忽視這項嚴重的消費者安全漏洞，放任虛假連結持續凌駕於真實資訊之上，導致無辜使用者的資產不斷遭到榨乾。

精密偽裝與隱藏程式碼，拆解釣魚網站的運作邏輯

這類新型態的釣魚攻擊在技術層面展現出極高的隱蔽性。駭客放棄了直接盜取私鑰的傳統手法，全面改用惡意的智能合約授權機制來達成目的。區塊鏈安全公司 Scam Sniffer 指出，受害者往往在連接錢包的過程中，不知不覺地簽署了將完整存取權限移交給攻擊者的交易。

一旦使用者完成惡意簽署手續，資金的流失便會自動化啟動。攻擊者能夠直接從受影響的帳戶中，將非同質化代幣（NFT）以及各種數位資產轉移殆盡。區塊鏈交易具備不可逆的特性，這些資金一旦匯出便極難追回。

為了提高詐騙的成功率，駭客在前端介面的設計上煞費苦心。他們會建立與 Uniswap 官方網站幾乎一模一樣的視覺介面，並採用 Punycode 形式的網域位址，讓網址在一般瀏覽情況下看起來與合法加密網域毫無二致。這種精巧的偽裝讓投資人在日常操作時極難察覺異狀。

根據 Web3 網路安全非營利組織 Security Alliance（SEAL）的調查，攻擊者會利用遭到入侵的廣告主帳戶，配合偽裝技術來推送假連結。研究人員發現，部分駭客將惡意程式碼植入隱藏的 iframe 標籤內，藉此規避 Google 自動化系統的偵測。這種手法讓受害者在瀏覽極度逼真的複製網站時，所有網路流量皆被悄悄導向攻擊者控制的伺服器。

業界大佬砲轟科技巨頭，搜尋引擎成詐騙溫床

搜尋引擎廣告淪為加密貨幣釣魚溫床的問題，早已引起產業領袖的高度不滿。Uniswap 創辦人 Hayden Adams 早在今年 2 月便公開譴責這類釣魚詐騙，並無奈表示團隊多年來一直在與這些惡意行為對抗。他透露即使團隊持續進行舉報，詐騙廣告依然如同野草般不斷重生。

安全機構的統計數據凸顯了事態的嚴重性。SEAL 指出，惡意的 Google 廣告活動在 2026 年 3 月期間出現急遽攀升的趨勢，該組織在短短幾週內便攔截了超過 356 個詐騙廣告網址。這些活動背後牽涉到被廣泛運用於網路釣魚操作的 Inferno Drainer 與 Vanilla Drainer 等惡意服務。

駭客的貪婪造成了驚人的財物損失。根據先前的通報案例，曾有單一使用者在點擊 Google 廣告推廣的釣魚網站後，瞬間損失價值超過 123 萬美元的 Uniswap V3 NFT 資產。Scam Sniffer 的數據顯示，光是在今年第一個月，簽名釣魚攻擊就從加密錢包中竊取了 627 萬美元。

總體經濟來看，針對加密產業的網路犯罪正呈現爆炸性成長。依據美國聯邦調查局（FBI）發佈的《2025 年網路犯罪報告》，與加密貨幣相關的投訴案件高達 181,565 起，整體損失總額達到 113.6 億美元，較 2024 年攀升了 22%。單純涉及加密貨幣釣魚與欺騙手法的案件，便造成了超過 1.11 億美元的通報損失，平均每位受害者損失約 6.2 萬美元。

零信任防禦戰略，守護錢包中的數位資產

面對防不勝防的惡意廣告與釣魚網站，加密貨幣市場的投資人必須建立更為嚴謹的安全操作習慣。去中心化金融分析平台 DeFiLlama 明確警告，Google 上的虛假廣告已成為目前網路釣魚攻擊最常見的來源之一。

為有效降低資產暴露在詐騙網站下的風險，多個資安機構提出了具體的防禦準則。在透過瀏覽器尋找任何 DeFi 協議時，使用者應養成直接避開點擊標示為「贊助」或「廣告」搜尋結果的習慣。直接輸入官方網址，或是從官方認證的社群媒體平台取得連結，是更為安全的做法。

在連結錢包與簽署任何交易之前，務必進行雙重確認。投資人可以使用 DefiLlama 等第三方工具來交叉比對並驗證加密網域的合法性。面對瀏覽器網址列顯示的 URL，必須仔細檢查是否有微小的字母替換或異體字型。

落實錢包的日常權限管理也是防禦的關鍵一環。安全專家建議，使用者應定期檢查並撤銷未使用或不再活躍的代幣授權，藉由建立嚴密的自我審查機制來防堵資安漏洞。

『Uniswap假廣告騙走40萬鎂！業界人士砲轟：Google長期忽視消費者安全漏洞』這篇文章最早發佈於『加密城市』