Pengguna AAVE berisiko kerana penipu menggunakan iklan Google untuk mempromosikan tapak web DeFi palsu

Penipu kripto sekali lagi menggunakan iklan Google untuk mempromosikan tapak pancingan data, kali ini menyasarkan protokol kewangan terdesentralisasi Aave dengan tapak web palsu yang direka untuk mengalirkan dompet pengguna.

Pada hari Khamis, 7 Ogos, firma keselamatan blockchain PeckShield membangkitkan penggera tentang iklan palsu yang menyamar sebagai Aave yang muncul di bahagian atas hasil carian Google.

Menurut amaran keselamatan firma itu, iklan berniat jahat itu dikaitkan dengan domain pancingan data — aaxe.co.com — yang meniru tapak web sah Aave dalam usaha untuk menipu pengguna. 

PeckShield menggesa komuniti kripto untuk tidak berinteraksi dengan iklan dan mengesahkan kesahihan tapak web DeFi sebelum terlibat.

Sehingga masa akhbar, pasukan Aave masih belum mengakui isu itu.

Sementara itu, iklan berniat jahat itu tidak lagi kelihatan apabila mencari Aave di Google.

Adakah pengguna AAVE berisiko?

Ya, penipuan sedemikian, walaupun bukan baru, menimbulkan risiko yang besar kepada mana-mana peminat mata wang kripto yang tidak cukup berhati-hati untuk mengesahkan alamat web. 

Penipuan ini berfungsi dengan mengubah hala pengguna yang tidak curiga ke tapak Aave palsu untuk mengakses dan mengalirkan aset digital daripada dompet yang disambungkan, terutamanya kerana antara muka penipuan mencerminkan platform Aave sebenar, dengan hanya perbezaan halus yang boleh dilihat semasa pemeriksaan menyeluruh. 

Serangan pancingan data seperti ini bergantung pada penipuan dan bukannya kekerasan. Daripada memerlukan mangsa mendedahkan kunci peribadi atau kata laluan, penyerang memanipulasi mereka untuk meluluskan transaksi yang menyerahkan kebenaran dompet. 

Sebaik sahaja pengguna menandatangani transaksi sedemikian, kontrak pintar memberikan kawalan kepada alamat penipu, membolehkan mereka memindahkan dana tanpa kebenaran lanjut.

Vektor serangan ini amat berbahaya dalam ruang kewangan terdesentralisasi (DeFi), di mana urus niaga tidak boleh dipulihkan dan mekanisme perlindungan pengguna adalah terhad.

Bagi pengguna Aave biasa, jatuh ke dalam penipuan sedemikian boleh bermakna kehilangan dana yang dibekalkan sebagai kecairan, cagaran atau token yang dipinjam, semuanya tanpa sebarang jalan keluar untuk pemulihan.

Selain itu, kelulusan berniat jahat boleh berterusan selama-lamanya jika tidak dibatalkan secara manual, mendedahkan dompet kepada risiko masa hadapan.

Penipu terus menyasarkan pengguna kripto melalui Google

Bagi Google, ini bukan masalah baru. Sejak beberapa tahun kebelakangan ini, terdapat beberapa insiden iklan sedemikian yang direkodkan apabila pengguna mencari projek mata wang kripto yang sah pada carian Google.

Sebagai contoh, bulan lepas, pengguna DeFi kehilangan lebih $1.23 juta dalam NFT Uniswap selepas berinteraksi dengan tapak palsu yang muncul sebagai hasil iklan Google teratas.

Dalam sesetengah kes, penipu juga telah menyamar sebagai alat seperti revoke.cash — menyasarkan pengguna yang sudah cuba pulih daripada serangan terdahulu, dengan berkesan menjadikan mangsa terdahulu menjadi mangsa semula.

Mengapa Google tidak menangani penipuan kripto?

Google tidak duduk di tepi dan telah mengambil beberapa langkah untuk membendung penyalahgunaan platform iklannya dalam bentuk tuntutan undang-undang dan larangan.

Pada awal 2024, gergasi teknologi itu menyaman dua warganegara China, Yunfeng Sun dan Hongnam Cheung, kerana mempromosikan pelaburan kripto palsu melalui aplikasi di Google Play Store.

Google mendakwa ia telah melumpuhkan 90 aplikasi penipuan yang dikaitkan dengan pasangan itu, yang telah mengumpul hampir 100,000 muat turun.

Tahun sebelumnya, Google melaporkan menyekat 5.5 bilion iklan dan menggantung 12.7 juta akaun pengiklan kerana pelanggaran yang berkaitan dengan penipuan dan salah nyataan.

Syarikat itu juga memperkenalkan dasar "Penyampaian Iklan Terhad" untuk menyekat jangkauan pengiklan yang tidak mempunyai rekod prestasi yang mantap.

Walau bagaimanapun, di sebalik usaha ini, penipu terus mencari jalan di sekeliling penapis Google.

Oleh itu, pakar menggesa pengguna untuk berhati-hati apabila berinteraksi dengan pautan dalam hasil carian, terutamanya pautan tajaan yang berkaitan dengan platform kripto atau perkhidmatan dompet.