El frontend de CoinMarketCap se vio comprometido con un código malicioso

CoinMarketCap, la plataforma de datos del mercado de criptomonedas con más de 340 millones de visitas mensuales, enfrentó un compromiso en el frontend el día de hoy.

La violación implicó la inyección de código JavaScript malicioso en la función rotativa “Doodles” del sitio, pidiendo a los usuarios “verificar la billetera”, una ventana emergente destinada a robar sus fondos.

Según un analista de la cadena de bloques que utiliza el seudónimo okHOTSHOT en X, el código malicioso se distribuyó a través de archivos JSON manipulados que se servían mediante la API de backend de CoinMarketCap. 

Los datos se utilizaron para cargar "doodles" animados en la página principal. Al cargar un doodle titulado "CoinmarketCLAP", este ejecutaba silenciosamente un código JavaScript que redirigía a los usuarios a un vaciador de billeteras llamado "Impersonator", una interfaz engañosa para que autorizaran transferencias de tokens.

El ataque no fue inmediatamente evidente para todos los usuarios, ya que el sitio rotaba los doodles aleatoriamente en cada visita. Sin embargo, al visitar el endpoint /doodles/, se activó el vaciador de billeteras en cada ocasión. Los investigadores de blockchaindentuna dirección maliciosa conocida que recibía aprobaciones de tokens: 0x000025b5ab50f8d9f987feb52eee7479e34a0000.

🚨 CoinMarketCap ha sido hackeado 🚨

Punto de vista: te estás agotando (no intentes esto en casa) 👇 pic.twitter.com/cgQhmFkATO

– apoorv.eth (@apoorveth) 20 de junio de 2025

Los expertos en seguridad creen que el ataque puede haber explotado una vulnerabilidad en el motor de animación utilizado para renderizar los garabatos, probablemente Lottie o una herramienta similar, lo que permite la ejecución arbitraria de JavaScript a través de la configuración JSON. 

Según los analistas de Coinspect, los atacantes aparentemente tuvieron acceso al backend y establecieron un tiempo de expiración para el exploit, que podría haber sido planeado con anticipación.

CoinMarketCap emitió un comunicado público sobre la brecha de seguridad a través de su cuenta oficial X, en el que afirma: “Hemosdenty eliminado el código malicioso de nuestro sitio. Nuestro equipo continúa investigando y tomando medidas para reforzar nuestra seguridad” 

La compañía agregó que la ventana emergente afectada ha sido eliminada y los sistemas están completamente restaurados.

Aunque el ataque se dirigió únicamente a la interfaz, los profesionales de seguridad piden a los inversores que tengan cuidado con el acceso a sus billeteras. CoinMarketCap es una plataforma que muchos operadores e inversores de criptomonedas visitan constantemente.

“La magnitud de esta estafa podría ser enorme; parece totalmente legítima, sin señales de alerta evidentes”, comentó un inversor en redes sociales. “Solo estás visitando un sitio que revisas a diario. ¡Ten cuidado!”.

Los expertos también creen que los usuarios que conectaron sus billeteras o aprobaron transacciones durante la brecha podrían haber sido ya vulnerables. Como medida de precaución, se recomienda a quienes hayan caído en las solicitudes maliciosas que revoquen cualquier aprobación reciente de tokens y eviten interactuar con ventanas emergentes similares en plataformas relacionadas con criptomonedas.

Según informó Cryptopolitan Cryptopolitan una de las mayores filtraciones de datos esta semana también se produjo 

BitoPro confirma el robo de criptomonedas por valor de 11 millones de dólares por parte de Lazarus Group

En otras noticias relacionadas, la plataforma taiwanesa de intercambio de criptomonedas BitoPro confirmó una brecha de seguridad que resultó en el robo de aproximadamente 11 millones de dólares en activos digitales. La compañía vinculó el ataque al grupo de hackers Lazarus, respaldado por el estado norcoreano. 

Según un hilo de X publicado el 19 de junio, citó similitudes condentanteriores que involucraban transferencias de fondos internacionales ilícitas y acceso no autorizado a intercambios de criptomonedas.

La brecha ocurrió el 8 de mayo de 2025, durante una actualización rutinaria del sistema de billetera activa. Los atacantes explotaron el dispositivo de un empleado para eludir la autenticación multifactor mediante tokens de sesión de AWS robados. El malware implantado mediante un ataque de ingeniería social permitió a los hackers ejecutar comandos, inyectar scripts en el sistema de la billetera y simular actividad legítima mientras desviaban fondos.

Los activos se drenaron a través de múltiples cadenas de bloques, incluidas Ethereum, Solana, Polygon y Tron, y se lavaron a través de intercambios y mezcladores descentralizados como Tornado Cash, Wasabi Wallet y ThorChain.