月間3億4000万回以上の訪問数を誇る暗号通貨市場データプラットフォームCoinMarketCapが本日早朝、フロントエンドの侵害に直面した。.
この侵害は、サイトのローテーション機能である「Doodles」に悪質なJavaScriptコードが挿入され、ユーザーに「ウォレットを確認」するように求めるポップアップが表示され、資金を盗むことが目的だった。.
XでokHOTSHOTという仮名で活動するオンチェーンアナリストによると、悪意のあるコードは、 CoinMarketCap独自のバックエンドAPIを介して提供される操作されたJSONファイルを通じて配信され
このデータは、フロントページにアニメーション化された「Doodle」を読み込むために使用されました。「CoinmarketCLAP」というタイトルのDoodleが読み込まれると、JavaScriptが密かに実行され、ユーザーを「Impersonator」と呼ばれるウォレットドレイン(トークンの送金を承認させる偽のインターフェース)にリダイレクトしました。.
サイトは訪問ごとにDoodleをランダムにローテーションしていたため、攻撃はすべてのユーザーにすぐには認識されませんでした。しかし、/doodles/エンドポイントにアクセスすると、毎回ウォレットドレインが起動したと報告されています。ブロックチェーン調査員は、トークン承認を受け取る既知の悪意のあるアドレスをdentしました:0x000025b5ab50f8d9f987feb52eee7479e34a0000。.
🚨 CoinMarketCap がハッキングされる 🚨
視点:あなたは疲れ果てています(自宅でこれを試さないでください)👇 pic.twitter.com/cgQhmFkATO
— apoorv.eth (@aporveth) 2025 年 6 月 20 日
セキュリティ専門家は、この攻撃は落書きをレンダリングするために使用されるアニメーション エンジン (おそらく Lottie または類似のツール) の脆弱性を悪用し、JSON 構成を通じて任意の JavaScript 実行を可能にした可能性があると考えています。.
Coinspect のアナリストによると、攻撃者はバックエンドにアクセスし、エクスプロイトの有効期限を設定していたようで、これは事前に計画されていた可能性があるとのことです。.
CoinMarketCapは、公式Xアカウントを通じてこの侵害について公式声明を特定dent」述べました。
同社は、影響を受けたポップアップは削除され、システムは完全に復旧したと付け加えた。.
攻撃はフロントエンドインターフェースのみを標的としたものでしたが、セキュリティ専門家は投資家に対し、ウォレットへのアクセスには注意するよう呼びかけています。CoinMarketCapは、多くの仮想通貨トレーダーや投資家が毎分のように訪れる
「この詐欺の規模はとてつもなく大きいかもしれない。見た目は全く合法で、明らかな危険信号もない」と、あるトレーダーはソーシャルメディアで予想した。「毎日チェックしているサイトを訪問しているだけだ。気をつけてね」
専門家は、侵入期間中にウォレットを接続したり取引を承認したりしたユーザーは、すでに侵入されている可能性があると指摘しています。予防策として、悪意のあるリクエストに引っかかったユーザーは、最近のトークン承認を取り消し、暗号資産関連プラットフォーム全体で同様のポップアップに接触しないようにすることをお勧めします。.
Cryptopolitanが報じたように今週はインターネット史上データ侵害事件の一つが
BitoPro、ラザルス・グループによる1100万ドルの暗号資産盗難を確認
その他の関連ニュースとして、台湾の仮想通貨取引所BitoProは、約1,100万ドル相当のデジタル資産が盗まれた侵入事件を確認しました。同社は、この攻撃は北朝鮮の政府系ハッカー集団「ラザルス」によるものだと指摘しました。.
6月19日に公開されたXスレッドによると、この事件は違法な国際資金移動や暗号通貨取引所への不正アクセスを含む過去のdentとの類似点を指摘している。.
侵害は2025年5月8日、ホットウォレットシステムの定期アップデート中に発生しました。攻撃者は従業員のデバイスを悪用し、盗んだAWSセッショントークンを用いて多要素認証を回避しました。ソーシャルエンジニアリング攻撃によって埋め込まれたマルウェアにより、ハッカーはコマンドを実行し、ウォレットシステムにスクリプトを挿入し、正当な活動を模倣しながら資金を盗み出すことができました。
資産は、 Ethereum、 Solana、Polygon、 Tronなどの複数のブロックチェーンに流出し、Tornado Cash、Wasabi Wallet、ThorChain などの分散型取引所やミキサーを通じてロンダリングされました。.
