Câteva portofele crypto au fost golite zilele acestea printr-un atac care nu a avut nevoie de nicio breșă tehnică. A fost de ajuns un site clonat după interfața Uniswap, câteva reclame plasate atent și suficienți utilizatori grăbiți să confirme o semnătură fără să o citească. Suma furată, urmărită pe blockchain, trece de 400.000 de dolari și se află, momentan, în două adrese aflate sub observație publică.
Cifra nu impresionează raportată la jafurile mari din DeFi, unde un singur exploit ridică zeci sau sute de milioane. Contează însă altfel. Banii nu au plecat dintr-un protocol prost auditat și nici dintr-un cont compromis prin keylogger.
Au plecat din portofele care credeau că folosesc cel mai cunoscut exchange descentralizat din lume. Iar mecanismul prin care s-au pierdut nu cere atacatorului decât trei lucruri. Un domeniu care arată ca originalul, încredere și grabă.
Alarma de pe blockchain și două adrese expuse public
Sesizarea a venit de la b-block, un cont care monitorizează frecvent fluxurile suspecte pe rețele EVM și care a publicat pe X cele două adrese ale operatorilor. Prima, începând cu 0x37925684BA178821b4436E06e67f5dBD6cfA49Bb, și a doua, 0x2fC25F46cC49D226eF92E9A7665f3d2821F3c5E2, conțineau, la momentul alertei, soldurile cumulate de aproximativ 400.000 de dolari.
Suma are o componentă mișcătoare. Poate crește dacă alți utilizatori cad în capcană înainte ca avertismentele să se propage suficient. Poate scădea dacă atacatorii reușesc să mute fondurile prin mixere, prin poduri cross-chain sau prin platforme care nu impun verificări de identitate.
Adresele rămân vizibile pentru oricine consultă un explorator de blocuri, fiindcă blockchain-ul nu uită nimic. Identitatea persoanelor din spatele lor rămâne, în schimb, necunoscută, iar fără o anchetă inițiată de un schimb centralizat care primește fondurile, șansele de recuperare se subțiază cu fiecare oră.
Investigatorul a transmis comunității un mesaj direct. Accesați protocoalele doar prin link-uri oficiale și verificați URL-ul de două ori înainte de a semna orice tranzacție. Recomandarea sună banal. Rămâne, statistic, cel mai puternic instrument de apărare împotriva acestui tip de fraudă.
Cum se reconstituie un drenaj de portofel?
Un wallet drainer nu seamănă cu un jaf clasic. Atacatorul nu sparge un seif și nu accesează fără voie o cheie privată. Convinge victima să semneze cu propria mână o aprobare sau un mesaj care îi va permite ulterior să mute tokenii. În fundal, un set de smart contracts este pregătit să accepte semnături nelimitate ori să exploateze permisiuni acordate prin tranzacții care, pentru un ochi neantrenat, arată ca un schimb obișnuit.
Odată semnată, aprobarea poate fi folosită oricând. Sunt documentate cazuri în care atacatorii au așteptat săptămâni întregi înainte să dreneze portofelul, tocmai ca victima să uite tranzacția suspectă și să acumuleze valoare în adresa atinsă. Ingineria temporală, dublată de cea socială, face din phishing-ul DeFi un mecanism mult mai sofisticat decât pare la prima vedere.
Anatomia unei interfețe clonate
Site-urile false care imită platformele de schimb descentralizate au evoluat mult în ultimii ani. Versiunile timpurii erau identificabile relativ ușor după greșeli în domeniu, după lipsa unui certificat SSL valid sau după o paletă cromatică ușor diferită. Generațiile actuale sunt aproape indistinguibile de original.
Au aceleași fonturi, aceleași animații, același comportament la apăsarea butoanelor. În unele cazuri, copia este atât de exactă încât deschide chiar și aceleași popup-uri pe care utilizatorul le cunoaște din experiența anterioară.
Diferența apare exact în momentul semnăturii. Acolo unde un schimb legitim cere o aprobare pentru un anumit token, în limitele unei sume rezonabile, copia falsă cere o permisiune nelimitată sau prezintă o tranzacție al cărei conținut, în hexazecimal, ascunde un transfer ulterior. Cei mai mulți utilizatori nu citesc niciodată câmpul tehnic al unei tranzacții. Arată ca un șir de caractere fără sens, iar atacatorii mizează tocmai pe această neglijență.
De ce funcționează clonele atât de eficient?
Industria crypto are o particularitate care lipsește din sistemul financiar tradițional. Nu există un intermediar care să verifice destinația unei tranzacții. O bancă observă un comportament suspect și poate suspenda un transfer. Pe blockchain, odată semnată, o tranzacție se execută în câteva secunde și devine ireversibilă. Caracteristica aceasta, lăudată drept esența libertății financiare, se transformă în vulnerabilitate atunci când utilizatorul face o eroare.
Peste această realitate tehnică se așază presiunea timpului. Atacatorii își prezintă deseori paginile alături de oferte limitate, airdrop-uri cu expirare apropiată sau ferestre de oportunitate generate artificial. Graba scurtcircuitează verificările pe care un utilizator atent le-ar face în mod normal. Cazurile recente arată că și investitori experimentați au pierdut sume substanțiale fiindcă au confundat un domeniu apropiat de cel oficial cu adresa autentică.
Frustrarea de la Uniswap și un război care durează de ani
Fenomenul nu este nou pentru echipa din spatele platformei. În februarie, fondatorul Uniswap, Hayden Adams, a comentat public situația, descriind scamurile drept oribile și recunoscând că lupta cu ele durează de ani. Comentariul a venit într-o dezbatere mai largă despre răspândirea aplicațiilor false pe magazinele oficiale de mobil.
Adams a explicat că aplicații frauduloase, imitând Uniswap, au circulat luni de zile prin Apple App Store, în timp ce versiunea oficială aștepta aprobarea pentru publicare. Paradoxul a fost amar pentru o companie care a contribuit decisiv la dezvoltarea finanțelor descentralizate. Reclamele false continuă să apară chiar și după ce echipa raportează zilnic numeroase exemple către Google și către alți operatori de publicitate.
Întrebarea care apare aici este una incomodă. Uniswap nu controlează cum apare numele său în rezultatele Google, nu poate elimina automat o aplicație falsă din magazinele Apple sau Android, nu poate desființa reclame plătite de actori rău intenționați. Are, în cel mai bun caz, instrumente reactive. Iar fereastra de timp dintre apariția unei copii false și eliminarea ei lasă pierderilor suficient spațiu să se acumuleze.
Războiul tăcut cu rezultatele căutării
Una dintre cele mai stranii capcane apare chiar la nivelul motorului de căutare. În martie 2026, o investigație a observat că un domeniu fals apărea în topul rezultatelor Google pentru căutarea cuvântului „Uniswap”. Mai mulți utilizatori au raportat că și-au pierdut fondurile după ce au făcut clic pe primul link, care era de fapt o reclamă sponsorizată ce ducea la o copie identică a interfeței. Site-ul respectiv a fost dezactivat ulterior, dar adresa URL a rămas indexată, ceea ce înseamnă că poate fi reactivată oricând de operatori.
Tiparul se repetă constant. Atacatorii rotesc domeniile, schimbă subdomeniile, cumpără adrese asemănătoare cu cel oficial, înregistrează variante cu litere care arată identic în alfabetul Unicode. Un consumator obișnuit, grăbit, are extrem de puține șanse să distingă vizual între uniswap și o variantă cu un caracter cirilic care înlocuiește un „a”.
Cifrele care arată cât de mare a ajuns problema
Datele oficiale confirmă teama investigatorilor independenți. Raportul anual al FBI privind criminalitatea pe internet, pentru 2025, a înregistrat 181.565 de plângeri legate de criptomonede, cu pierderi totale raportate de 11,36 miliarde de dolari. Cifra reprezintă o creștere de 22 la sută față de 2024, iar pierderea medie pe victimă, situată la 62.604 dolari, vorbește despre o populație de utilizatori care nu mai este formată exclusiv din investitori instituționali.
Phishing-ul și spoofing-ul legate de criptomonede, considerate separat, au produs 7.164 de plângeri și pierderi raportate de peste 111 milioane de dolari. Pentru un singur format de fraudă, cifra este consistentă, iar rapoartele de acest tip subreprezintă, de regulă, realitatea. Mulți utilizatori nu raportează niciodată pierderile. Unii din rușine, alții din convingerea că autoritățile nu pot face nimic, alții pentru că nu identifică episodul ca pe o infracțiune.
Datele firmei de securitate blockchain Scam Sniffer au arătat că, numai în prima lună din 2026, atacurile de tip signature phishing au sustras 6,27 milioane de dolari din portofele crypto. Cifra raportată pentru un interval scurt sugerează un ritm anualizat care depășește lejer 70 de milioane, dacă tendința rămâne constantă. Realitatea este, probabil, mai dură, fiindcă unele atacuri rămân nedescoperite zile sau săptămâni, iar volumul real iese la suprafață abia după luni de monitorizare.
Costul invizibil din spatele cifrelor
Dincolo de statistici, există o componentă psihologică pe care numerele nu o prind. Un utilizator care pierde câteva mii de dolari într-un astfel de atac rareori se mai întoarce cu aceeași încredere către DeFi. Adopția pe scară largă, pe care întreaga industrie crypto o invocă drept obiectiv, depinde de senzația de siguranță. Iar fiecare incident raportat erodează această senzație pentru un public mult mai larg decât cel direct afectat.
Companiile mari din ecosistem au reacționat în mod diferit. Unele au investit în educația utilizatorilor. Altele au integrat sisteme de avertizare în portofele. Altele au lansat campanii de monitorizare a domeniilor false. Niciuna dintre măsuri nu funcționează singură, fiindcă atacatorii își ajustează rapid metodele atunci când o cale este blocată.
Capcana semnăturilor, partea cea mai puțin înțeleasă
Pentru cei mai mulți utilizatori, ideea că o simplă semnătură poate echivala cu predarea fondurilor rămâne contraintuitivă. În lumea fizică, o semnătură pe un document înseamnă consimțământul pentru o tranzacție bine definită. Pe blockchain, lucrurile stau altfel. O semnătură poate transmite, prin mecanisme precum permit sau permit2, o autorizație generală care permite atacatorului să retragă tokeni din portofel săptămâni sau luni mai târziu, fără ca utilizatorul să primească vreo notificare.
Permit a fost introdus ca soluție elegantă pentru îmbunătățirea experienței utilizatorilor. În loc de o tranzacție on-chain separată pentru fiecare aprobare, semnătura off-chain reduce costul în gas și fluidizează interacțiunea. Mecanismul a fost adoptat masiv de protocoale DeFi mature, inclusiv Uniswap, dar a deschis un vector de atac care nu existase înainte. Un mesaj semnat off-chain nu apare în istoricul tranzacțiilor on-chain decât atunci când este folosit. Acest detaliu îl face perfect pentru atacuri întârziate.
Diferența dintre aprobare și transfer direct
Mulți utilizatori cred că semnarea unei aprobări este sigură fiindcă „nu se transferă bani direct”. Raționamentul a fost valabil acum câțiva ani, când aprobările aveau limite stricte și expirau rapid. În contextul actual, o aprobare nelimitată acordată unei adrese controlate de un atacator înseamnă, practic, predarea cheilor portofelului pentru tokenii respectivi. Distanța dintre aprobare și transfer ține, de cele mai multe ori, doar de timp.
Există, totuși, o nuanță tehnică importantă. Aprobarea permite mutarea tokenilor ERC-20 pentru care a fost acordată, nu și a ETH-ului nativ. Utilizatorii care păstrează valoarea principală în ETH sau în alte criptomonede native sunt protejați împotriva acestui mecanism specific, dar rămân vulnerabili la alte vectoare, inclusiv la semnarea unor tranzacții care transferă direct fondurile.
Verificările care țin un portofel în siguranță
Securitatea în DeFi nu este complicată conceptual, dar cere o disciplină pe care multă lume o consideră incomodă. Verificarea URL-ului înainte de conectare rămâne primul reflex, fără să fie singurul. Un domeniu poate părea identic și totuși să fie diferit, mai ales atunci când reclamele sponsorizate se interpun între căutare și site-ul real. Practica mai sigură este salvarea adresei oficiale ca bookmark și folosirea exclusivă a acelei intrări pentru accesarea protocolului.
Al doilea pas important este revocarea periodică a aprobărilor neutilizate. Instrumente precum Revoke.cash sau Etherscan Token Approval Checker permit oricui să vadă ce contracte au permisiunea de a muta tokeni din portofel și să retragă aceste permisiuni printr-o tranzacție simplă. Costul în gas este minim, iar beneficiul în termeni de securitate este disproporționat de mare. Multe drenări recente s-ar fi evitat dacă victimele ar fi revocat aprobări vechi de luni sau ani, acordate unor protocoale pe care nu le mai foloseau.
Un al treilea reflex util ține de hardware. Folosirea unui portofel fizic pentru sumele importante obligă utilizatorul să confirme manual fiecare tranzacție și afișează detaliile pe ecran, ceea ce reduce considerabil riscul ca un atacator să strecoare o aprobare malițioasă. Stratul suplimentar nu este perfect, dar oferă o pauză critică între intenție și execuție.
Obiceiul de a citi ce semnezi
Cea mai subevaluată practică rămâne, totuși, cea mai simplă. Citirea atentă a câmpurilor afișate de portofel înainte de semnare. Dacă o tranzacție anunțată ca schimb cere o aprobare pentru o sumă uriașă, dacă destinatarul nu corespunde adresei cunoscute a protocolului, dacă funcția invocată nu pare să aibă legătură cu acțiunea dorită, semnătura trebuie refuzată fără ezitare. Pauza de câteva secunde face diferența între un cont protejat și unul golit.
Portofelele mai noi au început să integreze sisteme de avertizare care semnalează contracte suspecte și aprobări neobișnuit de largi. Funcționalitatea ajută, fără să înlocuiască judecata utilizatorului. Atacatorii folosesc deseori contracte proaspăt implementate, fără istoric, pe care sistemele automate de detecție le ratează inițial.
Reclamele sponsorizate și paradoxul motoarelor de căutare
Discuția despre site-uri false nu poate ocoli responsabilitatea platformelor care le servesc utilizatorilor. Google a fost criticat repetat pentru permiterea reclamelor care promovează versiuni false ale unor protocoale legitime.
Mecanismul de verificare al rețelei publicitare nu detectează automat domeniile clonate, iar timpul mediu dintre semnalarea unei reclame frauduloase și eliminarea ei lasă suficientă marjă pentru ca atacatorii să își recupereze investiția în reclame de zeci sau sute de ori.
S-a creat astfel o piață paralelă în care operatorii rău intenționați cumpără spațiu publicitar exact pe căutările unor protocoale importante, plătind sume modice care palidează față de profiturile obținute. Un buget de câteva mii de dolari pe reclame poate genera venituri ilicite de sute de mii. Modelul economic favorizează clar agresorul, atâta vreme cât platformele de publicitate nu introduc verificări manuale pentru categoria crypto.
Soluțiile propuse până acum variază considerabil. Lista albă de domenii pentru anumite căutări sensibile. Verificarea identității celor care plasează reclame pentru protocoale cunoscute. Sisteme automate de detecție bazate pe analiză vizuală a paginilor de aterizare. Niciuna nu a fost adoptată pe scară largă, iar Google a fost criticat că prioritizează veniturile din publicitate în defavoarea protecției utilizatorilor.
Ce ar putea schimba ecuația?
Câteva inițiative recente sugerează că presiunea publică începe să dea roade. Mai multe motoare de căutare au început să afișeze etichete de avertizare pentru reclame către domenii suspecte. Câteva platforme de publicitate testează verificarea identității pentru anumite categorii de anunțuri. Schimbările sunt graduale și inconsistente, dar reprezintă o recunoaștere a problemei pe care marile platforme o tratau, până nu demult, drept colaterală.
Comunitatea crypto a răspuns prin instrumente proprii. Liste comunitare de domenii suspecte. Extensii de browser care semnalează site-uri false. Sisteme de reputație pentru smart contracts. Eforturile compensează parțial pasivitatea actorilor mari, fără să o înlocuiască.
Cazul Uniswap și un tipar care se repetă
Drenajul de 400.000 de dolari prin imitarea Uniswap nu schimbă nimic în arhitectura tehnică a finanțelor descentralizate. Protocolul în sine nu a fost compromis, smart contractele rămân la fel de robuste, rețeaua Ethereum funcționează după parametri obișnuiți. Schimbarea, dacă există, se petrece la marginea sistemului, acolo unde utilizatorii interacționează cu interfețe pe care nu le pot verifica tehnic.
Marginea aceasta fragilă rămâne, probabil, cea mai mare provocare pentru adopția pe scară largă a tehnologiei blockchain. Un sistem care își vinde eliminarea intermediarilor a creat un context în care utilizatorul devine propriul gardian, fără sprijinul instituțional pe care îl oferă, în mod implicit, sistemul bancar clasic. Responsabilitatea, transferată integral asupra individului, funcționează bine pentru o minoritate experimentată și prost pentru majoritatea celor care abia descoperă spațiul.
Lecția se aude periodic în comunitate, fără să fie internalizată definitiv. Educația utilizatorilor rămâne componenta critică. Verificarea URL-urilor. Revocarea aprobărilor. Folosirea portofelelor hardware. Citirea atentă a tranzacțiilor. Recomandările sună familiare pentru un investitor experimentat și complet noi pentru fiecare val proaspăt de utilizatori. Atacatorii știu foarte bine acest lucru. Nu vânează experții, ci pe cei aflați la primele interacțiuni, dispuși să creadă că, dacă au ajuns pe primul rezultat din Google, sunt pe site-ul corect.
Adresele expuse public rămân vizibile pe blockchain, iar fluxurile fondurilor pot fi urmărite în timp real. Asta nu garantează recuperarea, dar lasă deschisă posibilitatea unei presiuni constante asupra exchange-urilor centralizate care ar putea primi banii. Schimburile mari au obligații de conformitate și pot îngheța solduri suspecte, atunci când primesc cereri documentate.
Avertismentele publice de tipul celor lansate de b-block fac parte din acest mecanism de presiune.
Pentru fiecare utilizator care semnează o tranzacție pe un site fals, există probabil zece care au verificat URL-ul în ultimul moment și au închis tab-ul. Aceștia rămân invizibili în statistici, dar reprezintă, în fond, succesul muncii de educație și avertizare. Atâta vreme cât proporția dintre cei salvați și cei păcăliți rămâne suficient de mare, sistemul își menține credibilitatea. Când balanța se înclină, problema încetează să fie individuală.
Cazul de față continuă să fie monitorizat. Cele două adrese semnalate rămân sub urmărirea cercetătorilor on-chain, iar comunitatea verifică mișcările fondurilor pentru a identifica eventuale legături cu alte scheme similare. Uniswap și Google au fost contactați pentru comentarii, iar răspunsurile, dacă vor veni, vor adăuga context.
Până atunci, apărarea reală rămâne cea pe care fiecare utilizator o poate construi singur. Atenție la link, atenție la semnătură, atenție la grabă.
Intrebari Frecvente(FAQ)
Un site fals de Uniswap este o pagină web care imită aproape perfect interfața platformei oficiale, având același design, aceleași fonturi și același comportament la conectarea portofelului. Diferența apare în momentul semnării tranzacției, când site-ul fals cere o aprobare nelimitată pentru un token sau prezintă o tranzacție care, sub un șir hexazecimal aparent inofensiv, ascunde un transfer către o adresă controlată de atacator. Odată semnată, autorizația poate fi folosită oricând pentru a goli portofelul.
Investigatorul on-chain b-block a raportat că două adrese publice, 0x37925684BA178821b4436E06e67f5dBD6cfA49Bb și 0x2fC25F46cC49D226eF92E9A7665f3d2821F3c5E2, conțineau cumulat aproximativ 400.000 de dolari în momentul alertei. Suma poate crește dacă alți utilizatori cad în capcană sau poate scădea dacă atacatorii reușesc să transfere fondurile prin mixere ori prin platforme fără verificări de identitate.
Cele mai sigure metode de identificare presupun verificarea atentă a URL-ului, evitarea linkurilor sponsorizate din rezultatele motoarelor de căutare, accesarea platformei doar dintr-un bookmark salvat după o confirmare anterioară a adresei oficiale și verificarea conținutului tranzacției în portofel înainte de semnare. Site-urile false folosesc deseori domenii apropiate vizual, cu litere înlocuite din alfabetul Unicode, sau subdomenii care imită numele oficial.
Signature phishing este o tehnică în care atacatorul nu sparge cheile portofelului, ci convinge utilizatorul să semneze, voluntar, un mesaj sau o aprobare care permite ulterior mutarea fondurilor. Mecanisme precum permit și permit2, introduse pentru a îmbunătăți experiența de utilizare în DeFi, pot fi folosite abuziv atunci când semnătura off-chain transmite o autorizație generală, valabilă săptămâni sau luni mai târziu.
Aprobările vechi sau neutilizate pot fi vizualizate și revocate prin instrumente precum Revoke.cash, Etherscan Token Approval Checker sau interfețe similare disponibile pe rețele EVM. Costul în gas este minim, iar procedura presupune conectarea portofelului la instrument, identificarea contractelor cu permisiuni active și retragerea acestora printr-o tranzacție simplă. Verificarea periodică reduce semnificativ riscul ca o aprobare uitată să fie exploatată ulterior.
Raportul anual al FBI pentru 2025 indică 181.565 de plângeri legate de criptomonede și pierderi totale raportate de 11,36 miliarde de dolari, cu o creștere de 22 la sută față de anul anterior. Pierderea medie pe victimă a fost de 62.604 dolari, iar phishing-ul și spoofing-ul legate de cripto au produs separat 7.164 de plângeri și peste 111 milioane de dolari în pierderi raportate.
Atacatorii cumpără spațiu publicitar pe căutările unor protocoale cunoscute și plasează în topul rezultatelor reclame care duc la copii false ale interfețelor oficiale. Mecanismul de verificare al rețelelor de publicitate nu detectează automat domeniile clonate, iar fereastra de timp dintre semnalarea unei reclame frauduloase și eliminarea ei lasă suficient spațiu pentru pierderi. Utilizatorii sunt sfătuiți să ignore rezultatele sponsorizate când accesează platforme DeFi și să folosească bookmark-uri salvate.
