Il front-end di CoinMarketCap è stato compromesso con codice dannoso

CoinMarketCap, la piattaforma di dati di mercato sulle criptovalute con oltre 340 milioni di visite mensili, ha dovuto affrontare oggi una compromissione del front-end.

La violazione ha comportato l'iniezione di codice JavaScript dannoso nella funzionalità rotante "Doodles" del sito, chiedendo agli utenti di "verificare il portafoglio", un pop-up pensato per rubare i loro fondi.

Secondo un analista on-chain che si fa chiamare okHOTSHOT su X, il codice dannoso è stato diffuso tramite file JSON manipolati e serviti attraverso l'API di backend di CoinMarketCap. 

I dati venivano utilizzati per caricare "scarabocchi" animati sulla home page. Quando veniva caricato uno scarabocchio intitolato "CoinmarketCLAP", eseguiva silenziosamente un codice JavaScript che reindirizzava gli utenti a un "Impersonator", un'interfaccia ingannevole che li induceva ad autorizzare trasferimenti di token.

L'attacco non è stato immediatamente evidente a tutti gli utenti, poiché il sito ruotava i doodle in modo casuale a ogni visita. Tuttavia, visitando l'endpoint /doodles/, si sarebbe attivato il processo di svuotamento del portafoglio in ogni occasione. Gli investigatori della blockchain hannodentun indirizzo dannoso noto per la ricezione di approvazioni di token: 0x000025b5ab50f8d9f987feb52eee7479e34a0000.

🚨 CoinMarketCap è stato hackerato 🚨

POV: ti stai svuotando (non provarci a casa) 👇 pic.twitter.com/cgQhmFkATO

– apoorv.eth (@apoorveth) 20 giugno 2025

Gli esperti di sicurezza ritengono che l'attacco possa aver sfruttato una vulnerabilità nel motore di animazione utilizzato per il rendering degli scarabocchi, probabilmente Lottie o uno strumento simile, consentendo l'esecuzione arbitraria di JavaScript tramite la configurazione JSON. 

Secondo gli analisti di Coinspect, gli aggressori sembravano avere accesso al backend e aver impostato una scadenza per l'exploit, che avrebbe potuto essere pianificata in anticipo.

CoinMarketCap ha rilasciato una dichiarazione pubblica in merito alla violazione tramite il suo account ufficiale X, affermando: "Abbiamo identificatodentrimosso il codice dannoso dal nostro sito. Il nostro team continua a indagare e sta adottando misure per rafforzare la nostra sicurezza." 

L'azienda ha aggiunto che il pop-up interessato è stato rimosso e i sistemi sono stati completamente ripristinati.

Sebbene l'attacco abbia preso di mira solo l'interfaccia front-end, i professionisti della sicurezza stanno esortando gli investitori a prestare attenzione all'accesso ai propri wallet. CoinMarketCap è una piattaforma che molti trader e investitori di criptovalute visitano regolarmente.

"La portata di questa truffa potrebbe essere enorme, sembra del tutto legittima, non ci sono segnali d'allarme evidenti", ha commentato un trader sui social media. "State solo visitando un sito che controllate quotidianamente. Fate attenzione."

Gli esperti ritengono inoltre che gli utenti che hanno collegato i propri wallet o approvato transazioni durante la finestra temporale di violazione potrebbero essere già stati compromessi. A titolo precauzionale, si consiglia a chi è caduto vittima di richieste malevole di revocare qualsiasi recente approvazione di token ed evitare di interagire con pop-up simili sulle piattaforme dedicate alle criptovalute.

Come riportato da Cryptopolitan giovedì, questa settimana si è verificata anche una delle più grandi violazioni di dati nella storia di Internet. Oltre 16 miliardi di nomi utente e password sarebbero trapelati. 

BitoPro conferma il furto di criptovalute da 11 milioni di dollari da parte di Lazarus Group

In altre notizie correlate, l'exchange di criptovalute taiwanese BitoPro ha confermato una violazione che ha portato al furto di circa 11 milioni di dollari in asset digitali. La società ha collegato l'attacco al gruppo di hacker nordcoreano Lazarus, sostenuto dallo stato. 

Secondo un thread X pubblicato il 19 giugno, sono state citate somiglianze con precedentidentche coinvolgevano trasferimenti illeciti di fondi internazionali e accessi non autorizzati a scambi di criptovalute.

La violazione si è verificata l'8 maggio 2025, durante un aggiornamento di routine del sistema di hot wallet. Gli aggressori hanno sfruttato il dispositivo di un dipendente per bypassare l'autenticazione a più fattori utilizzando token di sessione AWS rubati. Il malware impiantato tramite un attacco di ingegneria sociale ha permesso agli hacker di eseguire comandi, iniettare script nel sistema di hot wallet e simulare attività legittime, sottraendo fondi.

Le risorse sono state prosciugate su più blockchain, tra cui Ethereum, Solana, Polygon e Tron, e riciclate tramite exchange e mixer decentralizzati come Tornado Cash, Wasabi Wallet e ThorChain.