Интерфейс CoinMarketCap был взломан с помощью вредоносного кода

Сегодня утром платформа CoinMarketCap, предоставляющая данные о криптовалютном рынке и насчитывающая более 340 миллионов ежемесячных посещений, столкнулась с уязвимостью во внешнем интерфейсе.

Взлом заключался во внедрении вредоносного JavaScript-кода в функцию «Дудлы» на сайте, которая постоянно обновлялась и предлагала пользователям «подтвердить кошелек» — всплывающее окно, предназначенное для кражи их средств.

По данным аналитика блокчейна под псевдонимом okHOTSHOT на платформе X, вредоносный код был доставлен через модифицированные JSON-файлы, предоставляемые через собственный бэкэнд API CoinMarketCap. 

Эти данные использовались для загрузки анимированных «рисунков» на главной странице. Когда загружался один из таких рисунков под названием «CoinmarketCLAP», он незаметно выполнял JavaScript, который перенаправлял пользователей на обманный интерфейс под названием «Impersonator», предназначенный для того, чтобы заставить их авторизовать перевод токенов.

Атака не сразу стала очевидной для всех пользователей, поскольку на сайте при каждом посещении случайным образом менялись рисунки. Тем не менее, как сообщается, посещение конечной точки /doodles/ каждый раз приводило к истощению кошелька. Специалисты по блокчейнуdentизвестный вредоносный адрес, получающий подтверждения токенов: 0x000025b5ab50f8d9f987feb52eee7479e34a0000.

🚨 CoinMarketCap взломан 🚨

Точка зрения: вас истощают (не пытайтесь повторить это дома) 👇 pic.twitter.com/cgQhmFkATO

– apoorv.eth (@apoorveth) 20 июня 2025 г.

Эксперты по безопасности полагают, что атака могла быть связана с уязвимостью в движке анимации, используемом для отображения рисунков, вероятно, в Lottie или аналогичном инструменте, что позволило выполнять произвольное выполнение JavaScript через конфигурацию JSON. 

По данным аналитиков Coinspect, злоумышленники, по всей видимости, имели доступ к серверной части системы и установили время истечения срока действия эксплойта, что могло быть спланировано заранее.

CoinMarketCap опубликовала заявление по поводу утечки данных через свой официальный аккаунт X, в котором говорится: «Мы выявилиdentудалили вредоносный код с нашего сайта. Наша команда продолжает расследование и принимает меры для усиления безопасности» 

Компания добавила, что всплывающее окно, вызывавшее проблему, было удалено, и системы полностью восстановлены.

Хотя атака была направлена ​​только на пользовательский интерфейс, специалисты по безопасности призывают инвесторов проявлять осторожность при доступе к своим кошелькам. CoinMarketCap — это платформа, которую многие криптотрейдеры и инвесторы посещают ежеминутно.

«Масштабы этой аферы могут быть огромными, но выглядит она совершенно законной, никаких явных признаков мошенничества нет», — написал один трейдер в социальных сетях. «Вы просто посещаете сайт, который проверяете ежедневно. Будьте осторожны».

Эксперты также считают, что пользователи, которые подключили свои кошельки или одобрили транзакции в период утечки данных, возможно, уже были скомпрометированы. В качестве меры предосторожности тем, кто попался на вредоносные запросы, рекомендуется отозвать все недавние подтверждения токенов и избегать взаимодействия с подобными всплывающими окнами на криптовалютных платформах.

Как сообщило издание Cryptopolitan одна из крупнейших известных утечек данных на этой неделе также произошла 

Компания BitoPro подтвердила кражу криптовалюты на сумму 11 миллионов долларов компанией Lazarus Group

В других новостях по этой теме, тайваньская криптовалютная биржа BitoPro подтвердила взлом, в результате которого были украдены цифровые активы на сумму около 11 миллионов долларов. Компания связала атаку с поддерживаемой северокорейским государством хакерской группировкой Lazarus. 

Согласно сообщению в ветке обсуждений на X, опубликованному 19 июня, были отмечены сходства с предыдущимиdent, связанными с незаконными международными денежными переводами и несанкционированным доступом к криптовалютным биржам.

Взлом произошел 8 мая 2025 года во время планового обновления системы горячих кошельков. Злоумышленники использовали устройство сотрудника для обхода многофакторной аутентификации с помощью украденных токенов сессии AWS. Вредоносное ПО, внедренное посредством атаки с использованием методов социальной инженерии, позволило хакерам выполнять команды, внедрять скрипты в систему кошелька и имитировать легитимную активность, одновременно похищая средства.

Активы выводились через множество блокчейнов, включая Ethereum, Solana, Polygon и Tron, и отмывались через децентрализованные биржи и миксеры, такие как Tornado Cash, Wasabi Wallet и ThorChain.