CoinMarketCap, o popular site de acompanhamento de preços de criptomoedas, sofreu um ataque à cadeia de suprimentos do site que expôs os visitantes do site a uma campanha de drenagem de carteiras para roubar criptoativos dos visitantes.
Na noite de sexta-feira, 20 de janeiro, os visitantes do CoinMarketCap começaram a ver pop-ups Web3 pedindo que conectassem suas carteiras ao site.
No entanto, quando os visitantes conectavam suas carteiras, um script malicioso drenava criptomoedas delas.
A empresa mais tarde confirmou que os agentes de ameaças utilizaram uma vulnerabilidade na imagem "doodle" da página inicial do site para injetar JavaScript malicioso no site.
"No dia 20 de junho de 2025, nossa equipe de segurança identificou uma vulnerabilidade relacionada a uma imagem de doodle exibida na nossa página inicial.
Esta imagem do doodle continha um link que desencadeava um código malicioso por uma chamada de API, resultando em um popup inesperado para alguns usuários ao visitarem nossa página inicial," lê-se numa declaração postada no X.
"Após a descoberta, agimos imediatamente para remover o conteúdo problemático, identificamos a causa raiz, e medidas abrangentes foram implementadas para isolar e mitigar o problema."
"Podemos confirmar que todos os sistemas estão agora totalmente operacionais, e o CoinMarketCap está seguro e protegido para todos os usuários."
A firma de cibersegurança c/side explicou que o ataque funcionou com os agentes de ameaças de alguma forma modificando a API usada pelo site para recuperar uma imagem de doodle para exibir na página inicial.
Este payload JSON adulterado agora incluía uma tag de script maliciosa que injetava um script de drenagem de carteiras no CoinMarketCap de um site externo chamado "static.cdnkit[.]io".
Quando alguém visitava a página, o script era executado e exibia um popup falso de conexão de carteira mostrando a marca CoinMarketCap e imitando uma solicitação de transação Web3 legítima.
No entanto, este script era na verdade um drenador de carteiras projetado para roubar os ativos das carteiras conectadas.
"Este foi um ataque à cadeia de suprimentos, significando que a violação não mirou os próprios servidores da CMC, mas uma ferramenta ou recurso de terceiros usado pela CMC," explica c/side.
Tais ataques são difíceis de detectar porque exploram elementos confiáveis de uma plataforma.
Mais detalhes sobre o ataque vieram mais tarde de um agente de ameaças conhecido como Rey, que disse que os atacantes por trás do ataque à cadeia de suprimentos do CoinMarketCap compartilharam uma captura de tela do painel de drenagem em um canal do Telegram.
Este painel indicava que US$ 43.266 foram roubados de 110 vítimas como parte deste ataque à cadeia de suprimentos, com os agentes de ameaças falando em francês no canal do Telegram.
À medida que a popularidade da criptomoeda aumentou, também aumentou a ameaça dos drenadores de carteira, que são comumente usados em ataques.
Ao contrário do phishing tradicional, esses tipos de ataques são mais frequentemente promovidos através de posts em mídias sociais, anúncios, sites falsificados e extensões de navegador maliciosas que incluem scripts de drenagem de carteira maliciosos.
Relatórios indicam que os drenadores de carteira roubaram quase US$ 500 milhões em 2024 através de ataques direcionados a mais de 300.000 endereços de carteiras.
O problema se tornou tão pervasivo que a Mozilla recentemente introduziu um novo sistema para detectar drenadores de carteira em complementos de navegador carregados no repositório de Add-ons do Firefox.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...