Die Benutzeroberfläche von CoinMarketCap wurde durch Schadcode kompromittiert

CoinMarketCap, die Kryptowährungsmarktdatenplattform mit über 340 Millionen monatlichen Besuchen, sah sich heute Morgen mit einer Beeinträchtigung der Benutzeroberfläche konfrontiert.

Bei dem Sicherheitsvorfall wurde bösartiger JavaScript-Code in die rotierende „Doodles“-Funktion der Website eingeschleust, der die Benutzer aufforderte, ihre Wallet zu „verifizieren“. Dieses Pop-up diente dazu, ihre Gelder zu stehlen.

Laut einem On-Chain-Analysten, der unter dem Pseudonym okHOTSHOT auf X auftritt, wurde der Schadcode verbreitet , die über die Backend-API von CoinMarketCap bereitgestellt wurden. 

Die Daten wurden verwendet, um animierte „Doodles“ auf der Startseite zu laden. Beim Laden eines Doodles mit dem Titel „CoinmarketCLAP“ wurde im Hintergrund JavaScript ausgeführt, das die Nutzer auf eine Webseite mit dem Namen „Impersonator“ weiterleitete – eine irreführende Oberfläche, die sie dazu verleiten sollte, Token-Transfers zu autorisieren.

Der Angriff war nicht für alle Nutzer sofort erkennbar, da die Website die angezeigten Zeichnungen bei jedem Besuch zufällig wechselte. Dennoch löste der Besuch des Endpunkts /doodles/ Berichten zufolge jedes Mal den Wallet-Drainer aus. Blockchain-Ermittlerdenteine bekannte schädliche Adresse, die Token-Genehmigungen empfing: 0x000025b5ab50f8d9f987feb52eee7479e34a0000.

🚨 CoinMarketCap wurde gehackt 🚨

POV: Du bist völlig erschöpft (bitte nicht zu Hause nachmachen) 👇 pic.twitter.com/cgQhmFkATO

– apoorv.eth (@apoorveth) 20. Juni 2025

Sicherheitsexperten vermuten, dass bei dem Angriff eine Schwachstelle in der Animations-Engine ausgenutzt wurde, die zum Rendern der Kritzeleien verwendet wurde, wahrscheinlich Lottie oder ein ähnliches Tool, wodurch die Ausführung von beliebigem JavaScript über die JSON-Konfiguration ermöglicht wurde. 

Laut Analysten von Coinspect hatten die Angreifer offenbar Zugriff auf das Backend und legten eine Ablaufzeit für die Sicherheitslücke fest, was möglicherweise im Voraus geplant war.

CoinMarketCap veröffentlichte über seinen offiziellen X-Account eine Stellungnahme zu dem Vorfall: „ Wir habendentden Schadcode auf unserer Website identifiziert und entfernt. Unser Team untersucht den Vorfall weiterhin und ergreift Maßnahmen zur Verbesserung unserer Sicherheit “ 

Das Unternehmen teilte mit, dass das betroffene Pop-up entfernt wurde und die Systeme wieder vollständig funktionieren.

Obwohl der Angriff nur die Benutzeroberfläche betraf, appellieren Sicherheitsexperten an Investoren, beim Zugriff auf ihre Wallets vorsichtig zu sein. CoinMarketCap ist eine Plattform, die von vielen Krypto-Händlern und -Investoren regelmäßig besucht wird

„Das Ausmaß dieses Betrugs könnte enorm sein, er sieht völlig seriös aus, keine offensichtlichen Warnsignale“, meinte ein Händler in den sozialen Medien. „Man besucht einfach eine Website, die man täglich überprüft. Seid vorsichtig.“

Experten gehen außerdem davon aus, dass Nutzer, die ihre Wallets verknüpft oder Transaktionen während des Sicherheitsvorfalls genehmigt haben, bereits betroffen sein könnten. Vorsorglich wird allen, die auf die betrügerischen Aufforderungen hereingefallen sind, empfohlen, kürzlich erteilte Token-Genehmigungen zu widerrufen und jegliche Interaktion mit ähnlichen Pop-ups auf Krypto-Plattformen zu vermeiden.

Wie Cryptopolitan Cryptopolitan einer der größten bekannten Datendiebstähle ereignete sich diese Woche  am berichtete , in der Geschichte des Internets. Angeblich wurden über 16 Milliarden Benutzernamen und Passwörter geleakt

BitoPro bestätigt Kryptodiebstahl in Höhe von 11 Millionen US-Dollar durch die Lazarus Group

In einer weiteren Meldung bestätigte die taiwanesische Kryptowährungsbörse BitoPro einen Datendiebstahl, bei dem digitale Vermögenswerte im Wert von rund 11 Millionen US-Dollar gestohlen wurden. Das Unternehmen brachte den Angriff mit der nordkoreanischen, staatlich unterstützten Hackergruppe Lazarus in Verbindung. 

Laut einem am 19. Juni veröffentlichten Thread im Forum X wurden Ähnlichkeiten zu früherendentim Zusammenhang mit illegalen internationalen Geldtransfers und unerlaubtem Zugriff auf Kryptobörsen angeführt.

Der Sicherheitsverstoß ereignete sich am 8. Mai 2025 während eines routinemäßigen Updates des Hot-Wallet-Systems. Angreifer nutzten ein Mitarbeitergerät, um die Multi-Faktor-Authentifizierung mithilfe gestohlener AWS-Session-Token zu umgehen. Durch einen Social-Engineering-Angriff eingeschleuste Schadsoftware ermöglichte es den Hackern, Befehle auszuführen, Skripte in das Wallet-System einzuschleusen und legitime Aktivitäten zu simulieren, während sie gleichzeitig Gelder abzweigten.

Die Vermögenswerte wurden über mehrere Blockchains, darunter Ethereum, Solana, Polygon und Tron, abgezogen und über dezentrale Börsen und Mixer wie Tornado Cash, Wasabi Wallet und ThorChain gewaschen.