BSP:警惕谷歌搜索广告的区块链局_ORD

作者：

时间：

背景

最近几周ScamSniffer陆续收到多个用户被搜索广告钓鱼的案例，他们都无一不例外错点了Google的搜索广告从而进入到恶意网站，并在使用中过程签署了恶意签名，最终导致钱包里的资产丢失。

通过搜索一些受害者使用的关键词可以发现很多恶意广告排在前面，大部分用户可能对搜索广告没有概念就直接打开第一个了，然而这些都是假冒的恶意网站。

通过分析了部分关键词，我们定位到了一些恶意的广告和网站，如Zapper, Lido, Stargate, Defillama等。

证券日报头版：投资者应警惕元宇宙故事:11月26日，证券日报发布头版评论文章“元宇宙故事有多迷人投资者就应当有多警惕”。文章表示，这一轮元宇宙概念股大涨行情，相较相关公司的基本面，资本要素错配的可能性大大增加。从行情角度看，元宇宙概念在经过一轮大涨后，再次快速上涨，非理性因素明显增长。回顾历史，各种概念疯炒之时，都曾讲过“迷人的故事”；但缺乏足够基本面支撑的炒作，终究以一地鸡毛落幕。对于可能影响资本要素健康有序发展的苗头性问题，及时性监管、针对性监管，既是三公原则的要求，也是投资者根本利益所在。对于元宇宙概念来说，它有多热，投资者的头脑就要有多冷静。[2021/11/26 7:11:47]

打开一个Zapper的恶意广告，可以看到他试图利用Permit签名获取我的 $SUDO的授权。如果你安装了Scam Sniffer的插件，你会得到实时的风险提醒。

姚前：警惕投机分子哄消费者参与虚拟货币交易:今日，国务院参事室研究员、前中国人民银行数字货币研究所所长姚前发文《区块链建设在疫情防控中的作用和价值》。文中提到，受新冠疫情的影响，国际金融市场近期波动巨大。在这种特殊时期，普通民众特别容易受到虚假信息的蛊惑，给违法犯罪分子更多的可乘之机。一些交易平台借机炒作“虚拟货币是超越黄金白银的避险资产”，其实质是投机分子哄消费者参与虚拟货币交易，借以牟利的消费陷阱。[2020/4/7]

目前很多钱包对于这类签名还没有明确的风险提示，普通用户很可能以为是普通的登陆签名，顺手就签了。关于更多Permit的历史可以看看这篇文章。

通过分析这些恶意广告信息，我们发现这些恶意广告来自这些广告主的投放:

来自乌克兰的 ТОВАРИСТВО З ОБМЕЖЕНОЮ В?ДПОВ?ДА-ЛЬН?СТЮ ?РОМУС-ПОЛ?ГРАФ?

声音 | 清华大学经济管理学院金融系教授：发掘区块链潜力警惕多种潜在风险:清华大学经济管理学院金融系教授、中国金融研究中心主任何平透露，区块链产业势头火热，不断有新企业涌入赛道。“部分赛道参与者并没有真正理解什么是分布式存储，也并没有理解区块链如何促进商业模式提升。过度投资是区块链产业当前面临的风险之一。何平强调，市场上打着区块链概念的行为层出不穷，引发的金融风险不容忽视，对于违法违规行为，监管机构要严格执法，惩前毖后，防范庞氏局出现。（人民网）[2019/12/6]

来自加拿大的TRACY ANN MCLEISH

通过分析这些恶意广告，我们发现了一些有意思的用于绕过广告审核的情况。

比如同样的域名：

gclid参数访问就展示恶意网站

不带就是卖AV接收器的正常页面

动态 | 警惕成为资金盘游戏“1 ETH”的接盘侠 ?:据第三方大数据机构RatingToken监测数据显示，最近很活跃的以太坊DApp游戏“1 ETH”存在重大风险。因该游戏合约代码未开源，故通过合约交易分析。初步认定该游戏为FOMO3D众多仿制品之一：玩家存入ETH后被抽成，等待可能的分红，以及一个猜数抽奖游戏。更重要的是，根据合约数据判断，游戏已经接近僵死阶段，只有很少ETH继续流入。如需查看更多信息，请点击原文链接。[2019/1/3]

gclid是Google广告用于追踪点击的参数，如果你点击Google的搜索广告结果，链接会追加上gclid。基于此就可以区分不同用户来源展示不一样的页面。而谷歌在投放前审核阶段看到的可能是正常的网页，这样一来就绕过了谷歌的广告审核。

同样有些恶意广告还存在反调试：

开发者工具: 禁用缓存开启 → 跳转到正常网站

直接打开 → 跳转到恶意网站

对比分析我们发现他们是通过请求头 cache-control 的差异来跳转到不一样的连接，在开发者工具开启Disable Cache后会导致请求头有细微差异。除了开发者工具外，一些爬虫可能也会开启这个头保证抓取到最新的内容，这样一来就又是一种可以绕过一些Google的广告机器审核的策略。

这些绕过的技巧也解释了我们的看到的现象，这些铺天盖地的恶意广告是通过一些技术手段和伪装，成功了Google广告的审核，导致这些广告最终被用户看到，从而造成了严重的损失。

那么对于Google Ads有什么改进办法？

接入Web3 Focus的恶意网站检测引擎（如ScamSniffer）。

持续监控投放前和投放后整个生命周期中的落地页情况，及时发现中间动态切换或通过参数跳转这种情况的发生。

为了分析潜在的规模，我们从ScamSniffer的数据库里找到了一些和这些恶意广告网站关联的链上地址。通过这些地址分析链上数据发现，一共大约 $4.16m被盗，3k个受害者。大部分被盗发生在近期一个月左右。

数据详情：https://dune.com/scamsniffer/google-search-ads-phishing-stats

通过分析几个比较大的资金归集地址，有些存进了SimpleSwap, Tornado.Cash。有些直接进了KuCoin, Binance等。

几个较大的资金归集地址：

0xe018b11f700857096b3b89ea34a0ef51339633700xdfe7c89ffb35803a61dbbf4932978812b8ba843d0x4e1daa2805b3b4f4d155027d7549dc731134669a0xe567e10d266bb0110b88b2e01ab06b60f7a143f30xae39cd591de9f3d73d2c5be67e72001711451341广告投入估算根据一些广告分析平台，我们能了解到这些关键词的单次点击均价在1-2左右。