CoinMarketCap, la plateforme de données sur le marché des cryptomonnaies qui enregistre plus de 340 millions de visites mensuelles, a subi une faille de sécurité au niveau de son interface utilisateur plus tôt dans la journée.
La faille de sécurité consistait en l'injection de code JavaScript malveillant dans la fonctionnalité « Doodles » rotative du site, demandant aux utilisateurs de « vérifier leur portefeuille », une fenêtre contextuelle destinée à voler leurs fonds.
Selon un analyste on-chain utilisant le pseudonyme okHOTSHOT sur X, le code malveillant a été diffusé via des fichiers JSON manipulés, servis par l'API backend propre à CoinMarketCap.
Les données ont servi à afficher des animations sur la page d'accueil. Lorsqu'une animation intitulée « CoinmarketCLAP » s'affichait, elle exécutait discrètement un script JavaScript qui redirigeait les utilisateurs vers un programme frauduleux appelé « Impersonator », une interface trompeuse conçue pour les inciter à autoriser des transferts de jetons.
L'attaque n'a pas été immédiatement détectée par tous les utilisateurs car le site affichait des doodles différents à chaque visite. Cependant, la visite du point de terminaison /doodles/ a systématiquement déclenché le vol de fonds. Les enquêteurs de la blockchain ontdentune adresse malveillante connue recevant des approbations de jetons : 0x000025b5ab50f8d9f987feb52eee7479e34a0000.
🚨 CoinMarketCap a été piraté 🚨
Point de vue : vous êtes épuisé(e) (ne tentez pas ça chez vous) 👇 pic.twitter.com/cgQhmFkATO
– apoorv.eth (@apoorveth) 20 juin 2025
Les experts en sécurité pensent que l'attaque pourrait avoir exploité une vulnérabilité du moteur d'animation utilisé pour afficher les dessins, probablement Lottie ou un outil similaire, permettant l'exécution de code JavaScript arbitraire via la configuration JSON.
Selon les analystes de Coinspect, les attaquants semblaient avoir un accès au système dorsal et ont défini une date d'expiration pour l'exploit, ce qui aurait pu être planifié à l'avance.
CoinMarketCap a publié une déclaration publique concernant la faille de sécurité via son compte X officiel : « Nous avons dent et supprimé le code malveillant de notre site. Notre équipe poursuit son enquête et prend des mesures pour renforcer notre sécurité. »
L'entreprise a ajouté que la fenêtre contextuelle en question a été supprimée et que les systèmes sont entièrement rétablis.
Bien que l'attaque n'ait ciblé que l'interface utilisateur, les experts en sécurité appellent les investisseurs à la plus grande prudence quant à l'accès à leurs portefeuilles. CoinMarketCap est une plateforme que de nombreux traders et investisseurs en cryptomonnaies consultent quotidiennement.
« L’ampleur de cette arnaque pourrait être énorme. Elle paraît tout à fait légitime, sans aucun signe avant-coureur évident », a commenté un trader sur les réseaux sociaux. « Vous consultez simplement un site que vous vérifiez quotidiennement. Faites attention . »
Les experts estiment également que les utilisateurs ayant connecté leurs portefeuilles ou approuvé des transactions pendant la période de vulnérabilité ont peut-être déjà été compromis. Par précaution, il est conseillé à ceux qui ont été victimes de ces demandes malveillantes de révoquer toute approbation de jetons récente et d'éviter toute interaction avec des fenêtres contextuelles similaires sur les plateformes liées aux cryptomonnaies.
Comme l' a rapporté Cryptopolitan jeudi, l'une des plus importantes fuites de données sur Internet a eu lieu cette semaine. Plus de 16 milliards d'identifiants et de mots de passe auraient été divulgués.
BitoPro confirme un vol de cryptomonnaies de 11 millions de dollars par le groupe Lazarus
Par ailleurs, la plateforme taïwanaise d'échange de cryptomonnaies BitoPro a confirmé une intrusion ayant entraîné le vol d'environ 11 millions de dollars d'actifs numériques. L'entreprise a imputé l'attaque au groupe de pirates informatiques Lazarus, soutenu par l'État nord-coréen.
Selon un fil de discussion X publié le 19 juin, il est fait mention de similitudes avec desdentprécédents impliquant des transferts de fonds internationaux illicites et un accès non autorisé à des plateformes d'échange de cryptomonnaies.
La faille de sécurité s'est produite le 8 mai 2025, lors d'une mise à jour de routine du système de portefeuille en ligne. Des pirates ont exploité l'appareil d'un employé pour contourner l'authentification multifacteurs grâce à des jetons de session AWS volés. Un logiciel malveillant, implanté par une attaque d'ingénierie sociale, leur a permis d'exécuter des commandes, d'injecter des scripts dans le système de portefeuille et de simuler une activité légitime tout en détournant des fonds.
Les actifs ont été transférés sur plusieurs blockchains, notamment Ethereum, Solana, Polygon et Tron, et blanchis via des plateformes d'échange décentralisées et des services de mixage tels que Tornado Cash, Wasabi Wallet et ThorChain.
