월간 방문자 수가 3억 4천만 명이 넘는 암호화폐 시장 데이터 플랫폼인 코인마켓캡(CoinMarketCap)이 오늘 오전 프런트엔드 해킹 공격을 받았습니다.
이번 해킹은 사이트의 회전하는 "낙서" 기능에 악성 자바스크립트 코드를 삽입하여 사용자에게 "지갑 확인"을 요구하는 팝업창을 띄워 자금을 탈취하려는 의도로 이루어졌습니다.
X 플랫폼에서 okHOTSHOT이라는 가명을 사용하는 온체인 분석가에 따르면, 악성 코드는 코인마켓캡 자체 백엔드 API를 통해 제공되는 조작된 JSON 파일을 통해 전달
해당 데이터는 홈페이지에 애니메이션 "낙서"를 로드하는 데 사용되었습니다. "CoinmarketCLAP"이라는 제목의 낙서가 로드되면, 사용자를 "Impersonator"라는 지갑 탈취 프로그램으로 리디렉션하는 JavaScript가 조용히 실행되었습니다. 이 프로그램은 사용자를 속여 토큰 전송을 승인하도록 유도하는 기만적인 인터페이스입니다.
해당 사이트는 방문할 때마다 낙서 이미지를 무작위로 변경했기 때문에 모든 사용자가 공격 사실을 즉시 알아차리기는 어려웠습니다. 하지만 /doodles/ 엔드포인트에 접속할 때마다 지갑 잔고를 빼돌리는 악성 코드가 실행된 것으로 알려졌습니다. 블록체인 조사관들은 토큰 승인을 받은 악성 주소(0x000025b5ab50f8d9f987feb52eee7479e34a0000)를dent했습니다.
🚨 코인마켓캡이 해킹당했습니다 🚨
시점: 당신은 기진맥진해지고 있어요 (절대 따라 하지 마세요) 👇 pic.twitter.com/cgQhmFkATO
— apoorv.eth (@apoorveth) 2025년 6월 20일
보안 전문가들은 이번 공격이 낙서 그림을 렌더링하는 데 사용된 애니메이션 엔진(아마도 Lottie 또는 유사한 도구)의 취약점을 악용한 것으로 보고 있으며, JSON 구성 파일을 통해 임의의 JavaScript 실행이 허용되었다고 추측합니다.
코인스펙트 분석가들에 따르면, 공격자들은 백엔드에 접근 권한을 확보하고 익스플로잇에 만료 시간을 설정했는데, 이는 사전에 계획된 것일 수 있다고 합니다.
코인마켓캡은 공식 계정을 통해 해킹 사건에 대한 성명을 발표 사이트에서 악성 코드를 발견하고 제거했습니다. 저희 팀은 계속해서 조사 중이며 보안 강화 조치를 취하고 있습니다. " dent 밝혔
회사 측은 해당 팝업 창이 제거되었으며 시스템이 완전히 복구되었다고 덧붙였습니다.
이번 공격은 사용자 인터페이스만을 겨냥했지만, 보안 전문가들은 투자자들에게 지갑 접근에 각별히 주의할 것을 당부하고 있습니다. 코인마켓캡은 수많은 암호화폐 거래자와 투자자들이 시시각각 방문하는
" 이 사기의 규모는 엄청날 수 있어요. 완전히 합법적으로 보이고, 눈에 띄는 위험 신호도 없네요 ." 한 거래자가 소셜 미디어에 이렇게 적었습니다. " 평소에 확인하는 사이트에 잠깐 들른 것뿐인데, 조심하세요 ."
전문가들은 해킹 발생 시간대에 지갑을 연결했거나 거래를 승인한 사용자들은 이미 계정이 손상되었을 가능성이 있다고 보고 있습니다. 예방 차원에서 악성 요청에 속았던 사용자들은 최근 승인한 토큰을 모두 취소하고 암호화폐 관련 플랫폼에서 유사한 팝업 광고에 반응하지 않도록 주의해야 합니다.
Cryptopolitan 에 보도한 바에 따르면 이번 주에는 인터넷 역사상 최대 규모의 데이터 유출 사고
BitoPro는 Lazarus Group의 1,100만 달러 상당의 암호화폐 도난 사건을 확인했습니다
관련 소식으로, 대만 암호화폐 거래소 비토프로(BitoPro)는 약 1,100만 달러 상당의 디지털 자산이 도난당하는 해킹 사고를 확인했습니다. 회사 측은 이번 공격이 북한 정부의 지원을 받는 해킹 그룹 라자루스(Lazarus)의 소행이라고 밝혔습니다.
6월 19일에 게시된 X 스레드에 따르면, 이는 불법 국제 자금 이체 및 암호화폐 거래소 무단 접근과 관련된 이전dent들과 유사점이 있다고 언급되었습니다.
이번 침해 사고는 2025년 5월 8일, 정기적인 핫월렛 시스템 업데이트 도중 발생했습니다. 공격자들은 직원 기기를 악용하여 탈취한 AWS 세션 토큰을 이용해 다단계 인증을 우회했습니다. 소셜 엔지니어링 공격을 통해 심어진 악성코드는 해커들이 명령어를 실행하고, 월렛 시스템에 스크립트를 삽입하며, 정상적인 활동을 가장하여 자금을 빼돌릴 수 있도록 했습니다.
자산은 Ethereum, Solana, 폴리곤, Tron포함한 여러 블록체인에 분산되어 토네이도 Cash, 와사비 월렛, 토르체인과 같은 탈중앙화 거래소 및 믹서를 통해 자금 세탁되었습니다.
