Secondo i ricercatori di sicurezza, la piattaforma pubblicitaria di Google è stata sfruttata in modo improprio per oltre un anno, con malintenzionati che diffondono falsi link sponsorizzati che indirizzano gli utenti di criptovalute ignari verso siti di phishing progettati per svuotare i loro portafogli.
Come funziona l'attacco
La truffa prende di mira le persone che cercano Uniswap, l'exchange decentralizzato, posizionando annunci fraudolenti sopra il sito legittimo nella sezione dei risultati sponsorizzati di Google.
Gli hacker acquistano direttamente spazi pubblicitari oppure si introducono negli account degli inserzionisti esistenti per pubblicare annunci falsi, per poi superare le offerte dei fornitori legittimi e aggiudicarsi la prima posizione.
Ciò che rende queste inserzioni difficili da individuare è il modo in cui sono strutturate. I link di phishing utilizzano URL che sembrano autentici, mentre un elemento secondario nascosto carica silenziosamente il codice dannoso, invisibile ai sistemi di revisione automatizzati di Google.
Le vittime che cliccano sui link si ritrovano su repliche convincenti della vera piattaforma Uniswap, con tutta la loro attività di rete instradata silenziosamente attraverso server controllati dagli aggressori.
Avviso alla comunità:
Un sito web che si spaccia per Uniswap sta sottraendo fondi da numerosi portafogli digitali.
Al momento i truffatori sono in possesso di almeno 400.000 dollari.
0x37925684BA178821b4436E06e67f5dBD6cfA49Bb 0x2fC25F46cC49D226eF92E9A7665f3d2821F3c5E2
Si prega di utilizzare solo link ufficiali e… pic.twitter.com/JikqftTVHY
— b-block (@b_block_official) 25 maggio 2026
L'analista on-chain "b-block" ha lanciato l' allarme lunedì dopo aver rintracciato fondi rubati in indirizzi collegati al falso sito Uniswap.
Al momento della stesura di questo articolo, due portafogli segnalati contenevano complessivamente 146 ETH, per un valore di circa 306.000 dollari. Il bottino totale è stimato in almeno 400.000 dollari.
Un anno di perdite
L'organizzazione no-profit Security Alliance, nota come SEAL, ha monitorato questo fenomeno nel suo complesso. Secondo il gruppo, a marzo si è registrato un forte aumento di questo tipo di attività di phishing, con un furto di 1,27 milioni di dollari solo tra il 13 e il 30 marzo.
SEAL ha dichiarato di aver bloccato oltre 356 link pubblicitari dannosi, descrivendo tale numero come tipico dell'attività settimanale degli hacker, sostenuta per oltre un anno, e ha affermato che il ritmo non è rallentato.
Stacy Muur, fondatrice dell'agenzia di marketing Web3 Green Dots, ha condiviso uno screenshot di uno di questi risultati sponsorizzati, affermando che i truffatori lo avevano utilizzato per rubare denaro agli utenti. Ha criticato apertamente Google, sostenendo che l'azienda ha lasciato che il problema persistesse per anni, mentre gli utenti continuavano a perdere denaro.
DeFiLlama, una piattaforma di dati sulle criptovalute, ha condiviso la preoccupazione, definendo le false inserzioni di Google una fonte comune e ricorrente di attacchi di phishing rivolti alla comunità delle criptovalute.
Due truffatori hanno già rubato circa 400.000 dollari agli utenti tramite un annuncio di phishing di @Uniswap su Google.
È assurdo che Google abbia ignorato questo problema per anni, mentre i link falsi continuano a essere posizionati al di sopra di quelli veri e gli utenti continuano a perdere traffico.
Questo è il primo risultato che è apparso… https://t.co/Ov488s9DIl pic.twitter.com/qStRGq8qTE
– Stacy Muur (@stacy_muur) 25 maggio 2026
La minaccia si estende oltre Google
Il caso Uniswap si inserisce in un quadro più ampio che colpisce diverse piattaforme e tipologie di utenti. Secondo alcune segnalazioni, all'inizio di maggio gli hacker hanno sfruttato sia Google Ads che i link condivisi tramite chat da strumenti di intelligenza artificiale per diffondere malware mirato agli utenti Mac, nell'ambito di una campagna attiva.
Nel frattempo, alcune segnalazioni indicano che anche Facebook ha assistito a un'ondata simile di annunci a pagamento falsi, con truffatori che imitano le promozioni ufficiali di Microsoft e indirizzano gli utenti a pagine di download contraffatte di Windows 11, piene di malware in grado di rubare le credenziali.
SEAL ha dichiarato di continuare a ricevere segnalazioni dalle vittime e che la campagna non mostra segni di arresto.
Immagine in evidenza da Unsplash, grafico da TradingView