A interface do CoinMarketCap foi comprometida com código malicioso

O CoinMarketCap, plataforma de dados do mercado de criptomoedas com mais de 340 milhões de visitas mensais, sofreu uma violação de segurança em sua interface hoje.

A violação envolveu a injeção de código JavaScript malicioso no recurso rotativo "Doodles" do site, solicitando aos usuários que "verificassem a carteira", um pop-up criado para roubar seus fundos.

Segundo um analista on-chain que usa o pseudônimo okHOTSHOT na plataforma X, o código malicioso foi distribuído por meio de arquivos JSON manipulados, disponibilizados pela própria API de backend do CoinMarketCap. 

Os dados foram usados ​​para carregar "rabiscos" animados na página inicial. Quando um rabisco intitulado "CoinmarketCLAP" era carregado, ele executava silenciosamente um código JavaScript que redirecionava os usuários para um programa que drenava carteiras, chamado "Impersonator", uma interface enganosa para induzi-los a autorizar transferências de tokens.

O ataque não foi imediatamente aparente para todos os usuários porque o site exibia os doodles aleatoriamente a cada visita. No entanto, visitar o endpoint /doodles/ supostamente acionava o esvaziamento de carteiras em todas as ocasiões. Investigadores da Blockchaindentum endereço malicioso conhecido que recebia aprovações de tokens: 0x000025b5ab50f8d9f987feb52eee7479e34a0000.

🚨 CoinMarketCap foi hackeado 🚨

POV: você está ficando sem energia (não tente isso em casa) 👇 pic.twitter.com/cgQhmFkATO

-apoorv.eth (@apoorveth) 20 de junho de 2025

Especialistas em segurança acreditam que o ataque pode ter explorado uma vulnerabilidade no mecanismo de animação usado para renderizar os desenhos, provavelmente o Lottie ou uma ferramenta similar, permitindo a execução arbitrária de JavaScript por meio da configuração JSON. 

Segundo analistas da Coinspect, os atacantes aparentemente tinham acesso ao sistema interno e definiram um tempo de expiração para a vulnerabilidade, o que pode ter sido planejado com antecedência.

CoinMarketCap divulgou um comunicado público sobre a violação por meio de sua conta oficial no Facebook, afirmando: “Identificamosdente removemos o código malicioso do nosso site. Nossa equipe continua investigando e tomando medidas para fortalecer nossa segurança.” 

A empresa acrescentou que o pop-up afetado foi removido e os sistemas foram totalmente restaurados.

Embora o ataque tenha visado apenas a interface do usuário, especialistas em segurança estão alertando os investidores para que sejam cautelosos com o acesso às suas carteiras. O CoinMarketCap é uma plataforma visitada a cada minuto.

“A dimensão desse golpe pode ser enorme, parece totalmente legítimo, sem nenhum sinal de alerta óbvio”, comentou um investidor nas redes sociais. “Você está apenas visitando um site que consulta diariamente. Cuidado por aí.”

Especialistas também acreditam que usuários que conectaram suas carteiras ou aprovaram transações durante o período da violação podem já ter sido afetados. Como precaução, recomenda-se que aqueles que caíram no golpe revoguem quaisquer aprovações de tokens recentes e evitem interagir com pop-ups semelhantes em plataformas relacionadas a criptomoedas.

Conforme noticiado pelo Cryptopolitan na quinta-feira, um dos maiores vazamentos de dados da história da internet também ocorreu esta semana. Mais de 16 bilhões de nomes de usuário e senhas teriam sido expostos. 

A BitoPro confirma o roubo de US$ 11 milhões em criptomoedas pelo Grupo Lazarus

Em outras notícias relacionadas, a corretora de criptomoedas taiwanesa BitoPro confirmou uma violação de segurança que resultou no roubo de aproximadamente US$ 11 milhões em ativos digitais. A empresa atribuiu o ataque ao grupo de hackers Lazarus, apoiado pelo Estado norte-coreano. 

De acordo com uma publicação no fórum X, datada de 19 de junho, foram citadas semelhanças comdentanteriores envolvendo transferências internacionais ilícitas de fundos e acesso não autorizado a corretoras de criptomoedas.

A violação ocorreu em 8 de maio de 2025, durante uma atualização de rotina do sistema de carteira online. Os invasores exploraram o dispositivo de um funcionário para burlar a autenticação multifatorial usando tokens de sessão da AWS roubados. Um malware implantado por meio de um ataque de engenharia social permitiu que os hackers executassem comandos, injetassem scripts no sistema da carteira e simulassem atividades legítimas enquanto desviavam fundos.

Os ativos foram drenados em várias blockchains, incluindo Ethereum, Solana, Polygon e Tron, e lavados por meio de exchanges e mixers descentralizados, como Tornado Cash, Wasabi Wallet e ThorChain.