CoinMarketCap, plateforme Données de marché des cryptomonnaies avec plus de 340 millions de visites mensuelles, a dû faire face à une violation de données en fin de journée aujourd'hui.
Cette violation concerne l'injection de code JavaScript malveillant dans la fonctionnalité "Doodles" tournante du site Web, demandant aux utilisateurs de "vérifier leur portefeuille", une fenêtre contextuelle visant à voler leur argent.
Selon un analyste en chaîne utilisant le pseudonyme okHOTSHOT sur X, un logiciel malveillant a été diffusé via des fichiers JSON manipulés fournis par l'API backend de CoinMarketCap.
Les données sont utilisées pour télécharger une "animation de gribouillage" sur la page d'accueil. Lorsqu'un gribouillage intitulé "CoinmarketCLAP" est téléchargé, il exécutera discrètement un JavaScript redirigeant l'utilisateur vers un portefeuille de retrait nommé "Impersonator", une interface frauduleuse pour les inciter à autoriser le transfert de tokens.
L'attaque n'est pas toujours évidente pour tous les utilisateurs car le site web fait tourner des images aléatoires à chaque accès. Cependant, l'accès au point final /doodles/ a été signalé comme ayant déclenché le retrait dans le portefeuille à chaque fois. Les enquêteurs Blockchain ont identifié une adresse malveillante connue recevant l'approbation du jeton : 0x000025b5ab50f8d9f987feb52eee7479e34a0000.
Les experts en sécurité pensent que l'attaque pourrait avoir exploité une vulnérabilité dans l'outil d'animation utilisé pour afficher des dessins griffonnés, qui pourrait être Lottie ou un outil similaire, permettant l'exécution de JavaScript arbitraire via une configuration JSON.
Selon les analystes de Coinspect, l'attaquant semblait avoir eu accès au back-end et a défini une date d'expiration pour la vulnérabilité, ce qui pourrait avoir été planifié à l'avance.
CoinMarketCap a fait une déclaration publique concernant la violation via leur compte X officiel, en disant : "Nous avons identifié et supprimé le malware de notre site. Notre équipe continue d'enquêter et prend des mesures pour renforcer la sécurité."
La société a également déclaré que la fenêtre contextuelle affectée a été supprimée et que le système a été complètement rétabli.
Bien que l'attaque ne vise que l'interface front-end, les experts en sécurité appellent les investisseurs à faire preuve de prudence lorsqu'ils accèdent à leur portefeuille. CoinMarketCap est une plateforme à laquelle de nombreux traders et investisseurs en cryptomonnaies accèdent chaque minute.
« L'échelle de cette escroquerie pourrait être très grande, elle semble totalement légale, il n'y a aucun signe d'avertissement clair », a calculé un trader sur les réseaux sociaux. « Vous accédez simplement à un site Web que vous vérifiez chaque jour. Faites attention là dehors. »
Les experts pensent également que les utilisateurs qui ont connecté leur portefeuille ou approuvé des transactions pendant la période de violation pourraient avoir été compromis. Par mesure de précaution, ceux qui sont tombés dans des pièges malveillants sont conseillés de révoquer toutes les approbations de jetons récentes et d'éviter d'interagir avec des fenêtres contextuelles similaires sur les plateformes liées au marché des cryptomonnaies.
Selon un rapport de Cryptopolitan jeudi, l'une des plus grandes violations de données connues dans l'histoire d'Internet a également eu lieu cette semaine. Plus de 16 milliards de noms d'utilisateur et de mots de passe auraient été divulgués.
BitoPro confirme le vol de cryptomonnaies d'une valeur de 11 millions de dollars par le Lazarus Group
Dans une autre nouvelle connexe, la plateforme de cryptomonnaies taïwanaise BitoPro a confirmé une violation ayant entraîné le vol d'environ 11 millions de dollars d'actifs numériques. La société a lié l'attaque au groupe de hackers soutenu par l'État nord-coréen, Lazarus.
Selon le thème X publié le 19 juin, ce thème a cité des similitudes avec des incidents antérieurs liés au transfert d'argent international illégal et à l'accès non autorisé aux plateformes de cryptomonnaies.
La violation s’est produite le 8 mai 2025, lors d’une mise à jour régulière du système de portefeuille chaud. Un attaquant a exploité l’appareil d’un employé pour contourner l’authentification multifacteur à l’aide d’un jeton de session AWS volé. Le logiciel malveillant est implanté par le biais d’une attaque d’ingénierie sociale qui permet aux pirates d’exécuter des ordres, d’injecter des scripts dans des systèmes de portefeuille et de simuler une activité légitime lors du retrait de fonds.
Les actifs ont été transférés à travers plusieurs blockchains, y compris Ethereum, Solana, Polygon et Tron, et ont été blanchis via des plateformes décentralisées et des mélangeurs comme Tornado Cash, Wasabi Wallet et ThorChain.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
CoinMarketCap a été attaqué par un malware JavaScript
CoinMarketCap, plateforme Données de marché des cryptomonnaies avec plus de 340 millions de visites mensuelles, a dû faire face à une violation de données en fin de journée aujourd'hui. Cette violation concerne l'injection de code JavaScript malveillant dans la fonctionnalité "Doodles" tournante du site Web, demandant aux utilisateurs de "vérifier leur portefeuille", une fenêtre contextuelle visant à voler leur argent. Selon un analyste en chaîne utilisant le pseudonyme okHOTSHOT sur X, un logiciel malveillant a été diffusé via des fichiers JSON manipulés fournis par l'API backend de CoinMarketCap. Les données sont utilisées pour télécharger une "animation de gribouillage" sur la page d'accueil. Lorsqu'un gribouillage intitulé "CoinmarketCLAP" est téléchargé, il exécutera discrètement un JavaScript redirigeant l'utilisateur vers un portefeuille de retrait nommé "Impersonator", une interface frauduleuse pour les inciter à autoriser le transfert de tokens. L'attaque n'est pas toujours évidente pour tous les utilisateurs car le site web fait tourner des images aléatoires à chaque accès. Cependant, l'accès au point final /doodles/ a été signalé comme ayant déclenché le retrait dans le portefeuille à chaque fois. Les enquêteurs Blockchain ont identifié une adresse malveillante connue recevant l'approbation du jeton : 0x000025b5ab50f8d9f987feb52eee7479e34a0000. Les experts en sécurité pensent que l'attaque pourrait avoir exploité une vulnérabilité dans l'outil d'animation utilisé pour afficher des dessins griffonnés, qui pourrait être Lottie ou un outil similaire, permettant l'exécution de JavaScript arbitraire via une configuration JSON. Selon les analystes de Coinspect, l'attaquant semblait avoir eu accès au back-end et a défini une date d'expiration pour la vulnérabilité, ce qui pourrait avoir été planifié à l'avance. CoinMarketCap a fait une déclaration publique concernant la violation via leur compte X officiel, en disant : "Nous avons identifié et supprimé le malware de notre site. Notre équipe continue d'enquêter et prend des mesures pour renforcer la sécurité." La société a également déclaré que la fenêtre contextuelle affectée a été supprimée et que le système a été complètement rétabli. Bien que l'attaque ne vise que l'interface front-end, les experts en sécurité appellent les investisseurs à faire preuve de prudence lorsqu'ils accèdent à leur portefeuille. CoinMarketCap est une plateforme à laquelle de nombreux traders et investisseurs en cryptomonnaies accèdent chaque minute. « L'échelle de cette escroquerie pourrait être très grande, elle semble totalement légale, il n'y a aucun signe d'avertissement clair », a calculé un trader sur les réseaux sociaux. « Vous accédez simplement à un site Web que vous vérifiez chaque jour. Faites attention là dehors. » Les experts pensent également que les utilisateurs qui ont connecté leur portefeuille ou approuvé des transactions pendant la période de violation pourraient avoir été compromis. Par mesure de précaution, ceux qui sont tombés dans des pièges malveillants sont conseillés de révoquer toutes les approbations de jetons récentes et d'éviter d'interagir avec des fenêtres contextuelles similaires sur les plateformes liées au marché des cryptomonnaies. Selon un rapport de Cryptopolitan jeudi, l'une des plus grandes violations de données connues dans l'histoire d'Internet a également eu lieu cette semaine. Plus de 16 milliards de noms d'utilisateur et de mots de passe auraient été divulgués. BitoPro confirme le vol de cryptomonnaies d'une valeur de 11 millions de dollars par le Lazarus Group Dans une autre nouvelle connexe, la plateforme de cryptomonnaies taïwanaise BitoPro a confirmé une violation ayant entraîné le vol d'environ 11 millions de dollars d'actifs numériques. La société a lié l'attaque au groupe de hackers soutenu par l'État nord-coréen, Lazarus. Selon le thème X publié le 19 juin, ce thème a cité des similitudes avec des incidents antérieurs liés au transfert d'argent international illégal et à l'accès non autorisé aux plateformes de cryptomonnaies. La violation s’est produite le 8 mai 2025, lors d’une mise à jour régulière du système de portefeuille chaud. Un attaquant a exploité l’appareil d’un employé pour contourner l’authentification multifacteur à l’aide d’un jeton de session AWS volé. Le logiciel malveillant est implanté par le biais d’une attaque d’ingénierie sociale qui permet aux pirates d’exécuter des ordres, d’injecter des scripts dans des systèmes de portefeuille et de simuler une activité légitime lors du retrait de fonds. Les actifs ont été transférés à travers plusieurs blockchains, y compris Ethereum, Solana, Polygon et Tron, et ont été blanchis via des plateformes décentralisées et des mélangeurs comme Tornado Cash, Wasabi Wallet et ThorChain.