Wyłudzenia na rynku DeFi. Fałszywa strona Uniswap przejęła 400 000 dolarów

On-chain investigator b-block zidentyfikował dwa adresy cyfrowe, które uczestniczą w trwającym procederze wyłudzania środków od użytkowników zdecentralizowanych finansów. Napastnicy, wykorzystując spreparowaną witrynę internetową, która bezbłędnie naśladuje oficjalny front-end protokołu Uniswap, przejęli aktywa o szacunkowej wartości 400 000 dolarów. Środki te spoczywają obecnie na portfelach blockchain oznaczonych ciągami znaków 0x37925684BA178821b4436E06e67f5dBD6cfA49Bb oraz 0x2fC25F46cC49D226eF92E9A7665f3d2821F3c5E2.

Ofiary podłączały swoje prywatne portfele do podstawionego interfejsu, nieświadomie autoryzując złośliwe funkcje inteligentnego kontraktu. Oszustwo opiera się na mechanizmie manipulacji uprawnieniami do dysponowania tokenami.

Manipulacja polega na wykupywaniu reklam sponsorowanych w wyszukiwarkach internetowych, takich jak Google. Zamiast oficjalnej domeny, algorytmy promocyjne przez wiele tygodni wyświetlały na najwyższych pozycjach odnośnik prowadzący do repliki witryny. Użytkownik, chcąc dokonać natychmiastowej wymiany aktywów, klikał w pierwszy dostępny link. Portal BeInCrypto udokumentował przypadki, w których identyczny wizualnie interfejs nakłaniał ofiary do podpisywania transakcji typu approval. Choć konkretna domena zgłoszona przez badaczy generuje obecnie błąd 404, schemat działania pozostaje aktywny poprzez rejestrację nowych, łudząco podobnych adresów URL.

Twórca protokołu Uniswap, Hayden Adams, potwierdził strukturalny charakter tego problemu. Wskazał, że walka z fałszywymi aplikacjami w sklepach mobilnych oraz nielegalnymi kampaniami reklamowymi trwa nieprzerwanie, a reakcja korporacji technologicznych na zgłoszenia nadużyć jest opóźniona. Przestępcy wykorzystują czas potrzebny na weryfikację zgłoszeń, przejmując płynność finansową nieostrożnych inwestorów w kilkanaście minut od uruchomienia kampanii.

Skala strat w segmencie zdecentralizowanych finansów dynamicznie rośnie. Z opublikowanego raportu Federalnego Biura Śledczego – Internet Crime Report za rok 2025 – wynika, że amerykańskie służby przyjęły 181 565 skarg dotyczących oszustw związanych z kryptowalutami. Całkowity wolumen strat osiągnął poziom 11,36 miliarda dolarów, generując wzrost o 22 procent w stosunku do roku 2024. Analiza statystyczna wykazuje, że przeciętna ofiara procederu traciła 62 604 dolary.

Sam phishing oraz podrabianie legalnych witryn korporacyjnych przyniosło 7 164 udokumentowane zgłoszenia, co wygenerowało stratę rzędu 111 milionów dolarów. Specjalistyczna firma bezpieczeństwa Scam Sniffer, monitorująca bezpośrednio aktywność sieciową inteligentnych kontraktów, wskazuje w swoich okresowych analizach, że ataki oparte wyłącznie na wyłudzaniu podpisów kryptograficznych pozbawiły użytkowników kwoty 6,27 miliona dolarów w zaledwie trzydzieści jeden dni stycznia.

Ochrona kapitału w zdecentralizowanych ekosystemach wymaga rezygnacji z systemów wyszukiwania na rzecz bezpośredniej nawigacji. Firmy audytorskie zajmujące się cyberbezpieczeństwem rekomendują całkowite unikanie sekcji linków sponsorowanych w przeglądarkach. Każda interakcja z protokołem Uniswap musi być poprzedzona manualną weryfikacją certyfikatu SSL oraz dokładnego brzmienia domeny w pasku adresowym.

Kluczowym elementem ochrony pozostaje cykliczne monitorowanie i odwoływanie aktywnych uprawnień dla inteligentnych kontraktów za pomocą narzędzi typu revoke. Zgoda na dysponowanie tokenami, wydana na fałszywej stronie, pozostaje ważna bezterminowo, dopóki użytkownik nie unieważni jej bezpośrednio w blockchainie, wysyłając transakcję czyszczącą historię nadań.