Câteva portofele crypto au fost golite în ultimele zile printr-o schemă care nu a presupus nicio breșă tehnică reală. Atacatorii au pregătit o clonă aproape perfectă a interfeței Uniswap, au plătit pentru câteva reclame plasate strategic și au lăsat utilizatorii să facă singuri cea mai costisitoare greșeală cu putință.
Au confirmat o semnătură fără să o citească. Suma furată, urmărită în timp real pe blockchain, depășește 400.000 de dolari și se află momentan în două adrese vizibile public.
Cifra pare modestă raportată la marile breșe din finanțele descentralizate, unde un singur exploit poate înghiți zeci sau sute de milioane. Importanța acestui caz vine însă din altă direcție. Banii nu au plecat dintr-un protocol prost auditat și nu au fost smulși dintr-un cont compromis printr-un malware sofisticat.
Au plecat din portofelele unor oameni convinși că folosesc una dintre cele mai populare platforme de schimb descentralizat din lume. Tiparul amintește, ca structură de inginerie socială, de atacurile de phishing prin canale oficiale raportate recent pe alte platforme financiare majore.
Semnalul de alarmă și cele două adrese vizibile
Alerta a venit de la b-block, un cont care monitorizează frecvent fluxurile suspecte pe rețele compatibile cu Ethereum și care a publicat pe X adresele celor doi operatori. Prima, începând cu 0x37925684BA178821b4436E06e67f5dBD6cfA49Bb, și a doua, 0x2fC25F46cC49D226eF92E9A7665f3d2821F3c5E2, conțineau la momentul semnalării solduri cumulate de aproximativ 400.000 de dolari.
Suma rămâne mișcătoare. Poate crește, dacă alți utilizatori cad în capcană înainte ca avertismentele să se răspândească suficient. Poate scădea, dacă atacatorii reușesc să strecoare fondurile prin mixere, prin poduri cross-chain sau prin platforme care nu impun verificări de identitate.
Adresele rămân însă vizibile pentru oricine consultă un explorator de blocuri, fiindcă blockchain-ul nu uită nimic. Identitatea persoanelor din spatele lor rămâne, în schimb, necunoscută, iar fără o anchetă inițiată de un schimb centralizat care primește fondurile, șansele de recuperare se subțiază cu fiecare oră.
Conform analizei publicate de Cryptology.ro, una dintre cele mai consultate surse românești de stiri criptomonede, investigatorul on-chain a transmis comunității un mesaj cât se poate de direct, prin care îndeamnă utilizatorii să acceseze protocoalele doar prin link-uri oficiale și să verifice URL-ul de două ori înainte de a semna orice tranzacție.
Cum se construiește un drenaj de portofel?
Un wallet drainer nu seamănă cu un jaf clasic. Atacatorul nu sparge un seif și nici nu accesează fără voie o cheie privată. Convinge victima să semneze cu propria mână o aprobare sau un mesaj care îi va permite ulterior să mute tokenii. În spatele interfeței, un set de smart contracts este pregătit să accepte semnături nelimitate sau să exploateze permisiuni acordate prin tranzacții care, pentru un ochi neantrenat, arată ca un schimb obișnuit.
Odată semnată, aprobarea poate fi folosită oricând. Sunt documentate cazuri în care atacatorii au așteptat săptămâni întregi înainte să dreneze portofelul, tocmai pentru ca victima să uite tranzacția suspectă și să acumuleze valoare în adresa atinsă. Răbdarea atacatorului, combinată cu manipularea încrederii victimei, face din phishing-ul DeFi un mecanism mai complicat decât pare la prima vedere.
Logica de bază rămâne aceeași și în cazul escrocheriilor cu USDT fals, în care tokeni replicați vizual sunt trimiși în adrese de portofel pentru a induce în eroare deținătorul în momentul confirmării.
Anatomia unei interfețe clonate
Site-urile false care imită platformele de schimb descentralizate au evoluat enorm în ultimii ani. Versiunile timpurii erau ușor de identificat după greșeli în domeniu, după lipsa unui certificat SSL valid sau după o paletă cromatică ușor diferită. Generațiile actuale sunt aproape imposibil de distins de original.
Au aceleași fonturi, aceleași animații, același comportament la apăsarea butoanelor, iar în unele cazuri copia este atât de exactă încât deschide chiar și aceleași popup-uri pe care utilizatorul le cunoaște din experiența anterioară.
Diferența apare exact în momentul semnăturii. Acolo unde un schimb legitim cere o aprobare pentru un anumit token, în limitele unei sume rezonabile, copia falsă cere o permisiune nelimitată sau prezintă o tranzacție al cărei conținut hexazecimal ascunde un transfer ulterior.
Cei mai mulți utilizatori nu citesc niciodată câmpul tehnic al unei tranzacții. Arată ca un șir lung de caractere fără sens, iar atacatorii mizează exact pe această neglijență.
De ce funcționează clonele atât de bine
Industria crypto are o particularitate absentă din sistemul financiar tradițional. Nu există un intermediar care să verifice destinația unei tranzacții. O bancă observă un comportament suspect și poate suspenda un transfer.
Pe blockchain, odată semnată, o tranzacție se execută în câteva secunde și devine ireversibilă. Trăsătura aceasta, vândută de obicei drept marca libertății financiare, devine o vulnerabilitate atunci când utilizatorul greșește.
Peste această realitate tehnică se adaugă presiunea timpului. Atacatorii își prezintă deseori paginile alături de oferte limitate, airdrop-uri cu expirare apropiată sau ferestre de oportunitate fabricate. Graba scurtcircuitează verificările pe care un utilizator atent le-ar face în mod normal. Cazurile recente arată că și investitori cu experiență au pierdut sume substanțiale, fiindcă au confundat un domeniu apropiat de cel oficial cu adresa autentică.
Frustrarea din interiorul Uniswap
Fenomenul nu este nou pentru echipa din spatele platformei. Fondatorul Uniswap, Hayden Adams, a comentat public situația la începutul acestui an, descriind scamurile drept oribile și recunoscând că lupta cu ele durează de mai mulți ani. Comentariul a venit într-o dezbatere mai largă despre răspândirea aplicațiilor false pe magazinele oficiale de mobil.
Adams a explicat că aplicații frauduloase, imitând Uniswap, au circulat luni de zile prin Apple App Store, în timp ce versiunea oficială aștepta aprobarea pentru publicare. Paradoxul a fost amar pentru o companie care a contribuit decisiv la dezvoltarea finanțelor descentralizate. Reclamele false continuă să apară chiar și după ce echipa raportează zilnic numeroase exemple către Google și către alți operatori de publicitate.
Războiul tăcut cu rezultatele căutării
Una dintre cele mai stranii capcane apare chiar la nivelul motorului de căutare. Mai mulți utilizatori au raportat că și-au pierdut fondurile după ce au făcut clic pe primul link returnat de Google pentru cuvântul „Uniswap”, care era, de fapt, o reclamă sponsorizată ce ducea la o copie identică a interfeței. Site-ul a fost dezactivat ulterior, dar adresa URL a rămas indexată, ceea ce înseamnă că poate fi reactivată oricând de operatori.
Tiparul se repetă constant. Atacatorii rotesc domeniile, schimbă subdomeniile, cumpără adrese asemănătoare cu cel oficial și înregistrează variante cu litere care arată identic în alfabetul Unicode. Un consumator obișnuit, grăbit, are puține șanse să distingă vizual între uniswap și o variantă în care un caracter cirilic înlocuiește un „a”.
Confuzia vizuală este doar una dintre fețele unui mecanism mai amplu, în care fraudele telefonice cu acoperire bancară au demonstrat aceeași eficiență, indiferent de canalul prin care se inițiază contactul.
Cifrele care arată cât de mare a devenit problema
Datele oficiale confirmă teama investigatorilor independenți. Raportul anual al FBI privind criminalitatea pe internet, pentru anul 2025, a înregistrat peste 181.000 de plângeri legate de criptomonede, cu pierderi totale raportate de 11,36 miliarde de dolari. Cifra reprezintă o creștere de 22 la sută față de anul precedent, iar pierderea medie pe victimă, situată în jurul valorii de 62.000 de dolari, arată o populație de utilizatori care nu mai este formată exclusiv din investitori instituționali.
Phishing-ul și spoofing-ul legate de criptomonede, considerate separat, au produs peste 7.000 de plângeri și pierderi raportate de peste 111 milioane de dolari. Pentru un singur format de fraudă, cifra rămâne ridicată, iar rapoartele de acest tip subreprezintă, de regulă, realitatea. Foarte mulți utilizatori nu raportează niciodată pierderile, fie din rușine, fie din neîncrederea că autoritățile pot face ceva concret, fie pentru că nu recunosc episodul ca pe o infracțiune.
Pe fundalul acestor cifre, fenomene precum pig butchering-ul aplicat în industria crypto au depășit demult granița dintre escrocheria izolată și industria globală, susținută de infrastructură proprie de spălare a banilor.
Capcana semnăturilor, partea cea mai puțin înțeleasă
Pentru cei mai mulți utilizatori, ideea că o simplă semnătură poate echivala cu predarea fondurilor rămâne contraintuitivă. În lumea fizică, o semnătură pe un document înseamnă consimțământul pentru o tranzacție bine definită. Pe blockchain, lucrurile stau altfel. O semnătură poate transmite, prin mecanisme precum permit sau permit2, o autorizație generală ce îi permite atacatorului să retragă tokeni din portofel săptămâni sau luni mai târziu, fără ca utilizatorul să primească vreo notificare.
Permit a fost introdus ca soluție elegantă pentru îmbunătățirea experienței utilizatorilor. În loc de o tranzacție on-chain separată pentru fiecare aprobare, semnătura off-chain reduce costul în gas și fluidizează interacțiunea.
Mecanismul a fost adoptat masiv de protocoale DeFi mature, inclusiv Uniswap, dar a deschis un vector de atac care nu existase înainte. Un mesaj semnat off-chain nu apare în istoricul tranzacțiilor on-chain decât atunci când este folosit, iar acest detaliu îl face perfect pentru atacuri întârziate.
Disciplina care păstrează un portofel intact
Securitatea în DeFi nu este complicată conceptual, dar cere o disciplină pe care multă lume o consideră incomodă. Verificarea URL-ului înainte de conectare rămâne primul reflex, fără să fie singurul. Un domeniu poate părea identic și totuși să fie diferit, mai ales atunci când reclamele sponsorizate se interpun între căutare și site-ul real. Practica mai sigură este salvarea adresei oficiale ca bookmark și folosirea exclusivă a acelei intrări pentru accesarea protocolului.
Tot atât de important este obiceiul de a revoca periodic aprobările neutilizate. Instrumente precum Revoke.cash sau Etherscan Token Approval Checker permit oricui să vadă ce contracte au permisiunea de a muta tokeni din portofel și să retragă aceste permisiuni printr-o tranzacție simplă.
Costul în gas este minim, iar beneficiul în termeni de securitate este disproporționat de mare. Multe drenări recente s-ar fi evitat dacă victimele ar fi revocat aprobări vechi de luni sau ani, acordate unor protocoale pe care nu le mai foloseau de mult timp.
Un alt reflex util ține de hardware. Folosirea unui portofel fizic pentru sumele importante obligă utilizatorul să confirme manual fiecare tranzacție și afișează detaliile pe ecran, ceea ce reduce considerabil riscul ca un atacator să strecoare o aprobare malițioasă. Stratul suplimentar nu este perfect, dar oferă o pauză critică între intenție și execuție.
Materialul integral, semnat de Mihai Popa, jurnalist și analist crypto la Cryptology.ro, oferă context suplimentar despre modul în care s-au derulat tranzacțiile, despre dialogul public dintre echipa Uniswap și platformele care găzduiesc reclamele frauduloase, dar și despre instrumentele prin care orice utilizator își poate audita portofelul în câteva minute.
Marginea fragilă unde se decide totul
Drenajul de aproape 400.000 de dolari prin imitarea Uniswap nu schimbă nimic în arhitectura tehnică a finanțelor descentralizate. Protocolul în sine nu a fost compromis, smart contractele rămân la fel de robuste, rețeaua Ethereum funcționează după parametrii obișnuiți. Schimbarea, dacă există, se petrece la marginea sistemului, acolo unde utilizatorii interacționează cu interfețe pe care nu le pot verifica tehnic.
Vectorii de risc, în paralel, se diversifică pe măsură ce ecosistemul crește, fapt confirmat și de investigații recente despre infiltrarea lucrătorilor IT nord-coreeni în proiecte crypto, semnalată de Fundația Ethereum.
Marginea aceasta fragilă rămâne, probabil, cea mai mare provocare pentru adopția pe scară largă a tehnologiei blockchain. Un sistem care își vinde eliminarea intermediarilor a creat un context în care utilizatorul devine propriul gardian, fără sprijinul instituțional pe care îl oferă, în mod implicit, sistemul bancar clasic. Responsabilitatea, transferată integral asupra individului, funcționează bine pentru o minoritate experimentată și prost pentru majoritatea celor care abia descoperă spațiul.
Cele două adrese semnalate rămân sub urmărirea cercetătorilor on-chain, iar comunitatea verifică mișcările fondurilor pentru a identifica eventuale legături cu alte scheme similare. Până la o intervenție concretă a unui exchange centralizat care ar putea bloca fondurile, apărarea reală rămâne cea pe care fiecare utilizator o construiește singur.
Verificarea atentă a URL-ului înaintea oricărui click și citirea fiecărui mesaj înaintea semnării rămân, deocamdată, cea mai bună poliță de asigurare disponibilă unui investitor obișnuit.
