谷歌广告竟成“钓鱼陷阱”？Aave投资者中招，加密钱包秒变“空包”

“点个广告，钱包清零”——这不是段子，而是真实发生在加密投资者身上的噩梦。近日，去中心化借贷协议Aave（AAVE）用户遭遇大规模钓鱼攻击，攻击者通过购买谷歌广告，将虚假的Aave投资平台推送到搜索结果顶部，诱导用户点击并连接钱包，导致大量加密资产被瞬间盗取。

这一事件再次敲响警钟：在Web3世界，最危险的不是黑客技术，而是你信任的“搜索结果”。

“官方平台”竟是假的？广告位成钓鱼温床

事情发生在Aave宣布其净存款总额突破600亿美元的第二天——这个里程碑式的成就吸引了大量新用户涌入。然而，正当社区庆祝之际，区块链安全公司PeckShield发出紧急预警：一场利用谷歌广告的钓鱼攻击正在大规模扩散。

据监测，攻击者注册了与Aave官网极为相似的域名（如aave-secure.com、aave-official.net），并制作了几乎一模一样的网页界面。更关键的是，他们通过付费广告，让这些假链接出现在谷歌搜索“Aave官网”“Aave质押”等关键词的首位。

“我搜了‘Aave怎么存币’，第一个结果是蓝色‘广告’标签，点进去页面也和我记得的一样，就放心连接了钱包。”一位受害者在社区论坛写道，“结果一秒后，钱包里的ETH全被转走了。”

一旦用户点击广告并进入钓鱼网站，页面会立即弹出“连接钱包”提示。用户只要授权，攻击者就能获得钱包的完全控制权，不仅可转走全部资产，还能执行无限期交易授权（Approval），后续即使用户发现异常，资金仍可能被持续盗取。

为何如此“精准”？搜索引擎成“帮凶”？

“这本质上是一场‘搜索引擎优化攻击’（SEO Attack）。”公共互联网反网络钓鱼工作组技术专家芦笛分析道，“攻击者不是黑了谷歌，而是‘合法’地买了广告位。他们利用品牌热度，在用户最信任的时刻下手。”

他解释，谷歌广告的审核机制主要基于技术合规性（如网站是否含恶意代码、是否为HTTPS），但很难100%识别“高仿网站”。而Aave这类去中心化项目，官网域名固定，但全球有无数仿盘、分叉项目，攻击者正是钻了这个空子。

“用户以为蓝色‘广告’标签就是官方认证，其实它只是‘付费推广’。”芦笛强调，“在Web2时代，我们习惯了‘搜什么，点第一个’；但在Web3，这个习惯可能让你倾家荡产。”

被盗后还能挽回吗？基本“没戏”

与传统金融诈骗不同，区块链交易具有不可逆性。一旦资产被转出，除非黑客主动归还，否则几乎无法追回。

更可怕的是，许多用户并不知道自己已被“授权”。即使断开网站连接，攻击者仍可通过之前获得的权限，随时提走新转入的资金。

“我们建议用户定期检查钱包授权记录。”芦笛说，“可以使用Revoke.cash这类工具，一键撤销对可疑网站的权限。”

此外，被盗钱包也不应继续使用。“黑客会持续监控这些地址，一旦有钱进来，立刻就会被转走。”他提醒。

技术揭秘：钓鱼网站如何“以假乱真”？

这场攻击背后，是典型的“三步走”钓鱼流程：

伪装（Spoofing）：

攻击者复制Aave官网UI，使用相似域名，甚至部署SSL证书（HTTPS），让用户误以为安全。

诱导（Phishing）：

通过搜索引擎广告、社交媒体推广、社群群发等方式，引导用户访问假网站。

窃取（Drain）：

用户连接钱包后，网站通过智能合约或前端脚本，请求高权限授权，随后立即转移资产。

“整个过程自动化，从点击到被盗，可能不到10秒。”芦笛说，“而AI技术让这些假网站的开发成本越来越低，一个人就能批量生成上百个仿盘。”

专家支招：五招守住你的加密资产

面对日益猖獗的钓鱼攻击，芦笛代表反网络钓鱼工作组，为加密投资者提出五条“保命建议”：

1. 永远手动输入官网地址

“Aave的官网只有一个：aave.com。不要搜，不要点广告，直接在浏览器输入。”芦笛强调，“可以把它加入书签，一劳永逸。”

2. 警惕“连接钱包”提示

正常DApp会在你主动操作（如存币、借款）时才请求连接。如果一进入网站就弹出连接框，立刻关闭。

3. 检查域名，一个字母都不能错

注意aave.com和aavee.com、aave.app的区别。攻击者常使用l（L小写）代替1，0代替O等视觉混淆手法。

4. 使用钱包安全插件

推荐安装MetaMask Shield、Pocket Universe等安全插件，能自动识别已知钓鱼网站并发出警告。

5. 定期“清理授权”

访问Revoke.cash或通过钱包设置，查看并撤销对不信任DApp的代币授权。“就像定期换密码一样，养成习惯。”

平台与广告商也该“担责”？

此次事件也引发对谷歌广告审核机制的质疑。尽管谷歌有政策禁止“误导性金融服务广告”，但执行层面仍存在漏洞。

“平台不能只做‘技术中立’的旁观者。”芦笛认为，“像Aave这样的头部项目，应该与谷歌建立白名单机制，确保官方链接优先展示，甚至标记‘官方认证’标识。”

目前，Cointelegraph已联系Aave团队，对方表示已向谷歌举报相关广告，并加强官方渠道的用户教育。

结语：在Web3，你才是自己的“银行”

Aave的这次事件，不是孤例，也不会是最后一次。从假冒Uniswap到伪造Coinbase，利用搜索引擎和社交媒体的钓鱼攻击，已成为加密世界最普遍的威胁。

它提醒我们：在去中心化的世界里，没有客服、没有冻结账户、没有“找回来”的机会。你的私钥，就是你的全部主权。

正如一位资深投资者所说：“以前觉得区块链不安全，现在发现，最不安全的，是自己的操作习惯。”

所以，下次当你准备连接钱包时，请多问一句：这个网站，真的是我想要的那一个吗？

编辑：芦笛（公共互联网反网络钓鱼工作组）