CoinMarketCap, nền tảng dữ liệu thị trường tiền điện tử với hơn 340 triệu lượt truy cập hàng tháng, đã phải đối mặt với sự cố xâm phạm dữ liệu đầu cuối vào đầu ngày hôm nay.
Vi phạm này liên quan đến việc đưa mã JavaScript độc hại vào tính năng "Doodles" xoay vòng của trang web, yêu cầu người dùng "xác minh ví", một cửa sổ bật lên nhằm mục đích đánh cắp tiền của họ.
Theo một nhà phân tích trên chuỗi có bút danh okHOTSHOT trên X, mã độc được phát tán thông qua các tệp JSON bị thao túng được cung cấp qua API phụ trợ của CoinMarketCap
Dữ liệu được sử dụng để tải "hình vẽ nguệch ngoạc" hoạt hình lên trang đầu. Khi một hình vẽ nguệch ngoạc có tiêu đề "CoinmarketCLAP" được tải, nó sẽ âm thầm thực thi JavaScript chuyển hướng người dùng đến một trình rút tiền trong ví có tên là "Impersonator", một giao diện lừa đảo để lừa họ ủy quyền chuyển token.
Cuộc tấn công không phải lúc nào cũng rõ ràng với tất cả người dùng vì trang web xoay vòng các hình vẽ ngẫu nhiên cho mỗi lần truy cập. Tuy nhiên, việc truy cập điểm cuối /doodles/ được báo cáo là đã kích hoạt trình rút tiền trong ví mọi lúc. Các nhà điều tra Blockchain đã xác định được một địa chỉ độc hại đã biết đang nhận được sự chấp thuận của mã thông báo: 0x000025b5ab50f8d9f987feb52eee7479e34a0000.
Các chuyên gia bảo mật tin rằng cuộc tấn công có thể đã khai thác lỗ hổng trong công cụ hoạt hình được sử dụng để hiển thị các hình vẽ nguệch ngoạc, có thể là Lottie hoặc một công cụ tương tự, cho phép thực thi JavaScript tùy ý thông qua cấu hình JSON
Theo các nhà phân tích tại Coinspect, kẻ tấn công dường như đã có quyền truy cập vào phần phụ trợ và đặt thời gian hết hạn cho lỗ hổng, điều này có thể đã được lên kế hoạch trước.
CoinMarketCap đã đưa ra tuyên bố công khai về vụ vi phạm thông qua tài khoản X chính thức của họ, nói rằng: “ Chúng tôi đã xác định và xóa mã độc khỏi trang web của mình. Nhóm của chúng tôi đang tiếp tục điều tra và thực hiện các bước để tăng cường bảo mật ” .
Công ty cho biết thêm rằng cửa sổ bật lên bị ảnh hưởng đã được xóa và hệ thống đã được khôi phục hoàn toàn.
Mặc dù cuộc tấn công chỉ nhắm vào giao diện front-end, các chuyên gia bảo mật đang kêu gọi các nhà đầu tư hãy thận trọng khi truy cập vào ví của họ. CoinMarketCap là một nền tảng mà nhiều nhà giao dịch và nhà đầu tư tiền điện tử truy cập từng phút.
“ Quy mô của trò lừa đảo này có thể rất lớn, trông có vẻ hoàn toàn hợp pháp, không có dấu hiệu cảnh báo rõ ràng nào”, một nhà giao dịch đã tính toán trên mạng xã hội. “ Bạn chỉ đang truy cập vào một trang web mà bạn kiểm tra hàng ngày. Hãy cẩn thận ở ngoài đó ”.
Các chuyên gia cũng tin rằng người dùng đã kết nối ví hoặc chấp thuận giao dịch trong thời gian vi phạm có thể đã bị xâm phạm. Để phòng ngừa, những người đã sập bẫy yêu cầu độc hại được khuyên nên thu hồi mọi phê duyệt mã thông báo gần đây và tránh tương tác với các cửa sổ bật lên tương tự trên các nền tảng liên quan đến tiền điện tử.
Theo báo cáo của Cryptopolitan vào thứ năm, một trong những vụ vi phạm dữ liệu lớn nhất được biết đến trong lịch sử internet cũng đã diễn ra trong tuần này. Hơn 16 tỷ tên người dùng và mật khẩu được cho là đã bị rò rỉ
BitoPro xác nhận vụ trộm tiền điện tử trị giá 11 triệu đô la của Lazarus Group
Trong một tin tức liên quan khác, sàn giao dịch tiền điện tử Đài Loan BitoPro đã xác nhận một vụ vi phạm dẫn đến việc đánh cắp khoảng 11 triệu đô la tài sản kỹ thuật số. Công ty đã liên kết vụ tấn công với nhóm tin tặc được nhà nước Triều Tiên hậu thuẫn là Lazarus
Theo chủ đề X được công bố vào ngày 19 tháng 6, chủ đề này đã trích dẫn những điểm tương đồng với các sự cố trước đây liên quan đến chuyển tiền quốc tế bất hợp pháp và truy cập trái phép vào các sàn giao dịch tiền điện tử.
Vi phạm xảy ra vào ngày 8 tháng 5 năm 2025, trong quá trình cập nhật hệ thống ví nóng thông thường. Kẻ tấn công đã khai thác thiết bị của nhân viên để bỏ qua xác thực đa yếu tố bằng cách sử dụng mã thông báo phiên AWS bị đánh cắp. Phần mềm độc hại được cấy ghép thông qua cuộc tấn công kỹ thuật xã hội cho phép tin tặc thực hiện lệnh, đưa tập lệnh vào hệ thống ví và mô phỏng hoạt động hợp pháp trong khi rút tiền.
Tài sản đã được chuyển qua nhiều blockchain, bao gồm Ethereum, Solana, Polygon và Tron, và được rửa thông qua các sàn giao dịch phi tập trung và các máy trộn như Tornado Cash, Wasabi Wallet và ThorChain
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
CoinMarketCap đã bị tấn công bằng mã độc JavaScript
CoinMarketCap, nền tảng dữ liệu thị trường tiền điện tử với hơn 340 triệu lượt truy cập hàng tháng, đã phải đối mặt với sự cố xâm phạm dữ liệu đầu cuối vào đầu ngày hôm nay. Vi phạm này liên quan đến việc đưa mã JavaScript độc hại vào tính năng "Doodles" xoay vòng của trang web, yêu cầu người dùng "xác minh ví", một cửa sổ bật lên nhằm mục đích đánh cắp tiền của họ. Theo một nhà phân tích trên chuỗi có bút danh okHOTSHOT trên X, mã độc được phát tán thông qua các tệp JSON bị thao túng được cung cấp qua API phụ trợ của CoinMarketCap Dữ liệu được sử dụng để tải "hình vẽ nguệch ngoạc" hoạt hình lên trang đầu. Khi một hình vẽ nguệch ngoạc có tiêu đề "CoinmarketCLAP" được tải, nó sẽ âm thầm thực thi JavaScript chuyển hướng người dùng đến một trình rút tiền trong ví có tên là "Impersonator", một giao diện lừa đảo để lừa họ ủy quyền chuyển token. Cuộc tấn công không phải lúc nào cũng rõ ràng với tất cả người dùng vì trang web xoay vòng các hình vẽ ngẫu nhiên cho mỗi lần truy cập. Tuy nhiên, việc truy cập điểm cuối /doodles/ được báo cáo là đã kích hoạt trình rút tiền trong ví mọi lúc. Các nhà điều tra Blockchain đã xác định được một địa chỉ độc hại đã biết đang nhận được sự chấp thuận của mã thông báo: 0x000025b5ab50f8d9f987feb52eee7479e34a0000. Các chuyên gia bảo mật tin rằng cuộc tấn công có thể đã khai thác lỗ hổng trong công cụ hoạt hình được sử dụng để hiển thị các hình vẽ nguệch ngoạc, có thể là Lottie hoặc một công cụ tương tự, cho phép thực thi JavaScript tùy ý thông qua cấu hình JSON Theo các nhà phân tích tại Coinspect, kẻ tấn công dường như đã có quyền truy cập vào phần phụ trợ và đặt thời gian hết hạn cho lỗ hổng, điều này có thể đã được lên kế hoạch trước. CoinMarketCap đã đưa ra tuyên bố công khai về vụ vi phạm thông qua tài khoản X chính thức của họ, nói rằng: “ Chúng tôi đã xác định và xóa mã độc khỏi trang web của mình. Nhóm của chúng tôi đang tiếp tục điều tra và thực hiện các bước để tăng cường bảo mật ” . Công ty cho biết thêm rằng cửa sổ bật lên bị ảnh hưởng đã được xóa và hệ thống đã được khôi phục hoàn toàn. Mặc dù cuộc tấn công chỉ nhắm vào giao diện front-end, các chuyên gia bảo mật đang kêu gọi các nhà đầu tư hãy thận trọng khi truy cập vào ví của họ. CoinMarketCap là một nền tảng mà nhiều nhà giao dịch và nhà đầu tư tiền điện tử truy cập từng phút. “ Quy mô của trò lừa đảo này có thể rất lớn, trông có vẻ hoàn toàn hợp pháp, không có dấu hiệu cảnh báo rõ ràng nào”, một nhà giao dịch đã tính toán trên mạng xã hội. “ Bạn chỉ đang truy cập vào một trang web mà bạn kiểm tra hàng ngày. Hãy cẩn thận ở ngoài đó ”. Các chuyên gia cũng tin rằng người dùng đã kết nối ví hoặc chấp thuận giao dịch trong thời gian vi phạm có thể đã bị xâm phạm. Để phòng ngừa, những người đã sập bẫy yêu cầu độc hại được khuyên nên thu hồi mọi phê duyệt mã thông báo gần đây và tránh tương tác với các cửa sổ bật lên tương tự trên các nền tảng liên quan đến tiền điện tử. Theo báo cáo của Cryptopolitan vào thứ năm, một trong những vụ vi phạm dữ liệu lớn nhất được biết đến trong lịch sử internet cũng đã diễn ra trong tuần này. Hơn 16 tỷ tên người dùng và mật khẩu được cho là đã bị rò rỉ BitoPro xác nhận vụ trộm tiền điện tử trị giá 11 triệu đô la của Lazarus Group Trong một tin tức liên quan khác, sàn giao dịch tiền điện tử Đài Loan BitoPro đã xác nhận một vụ vi phạm dẫn đến việc đánh cắp khoảng 11 triệu đô la tài sản kỹ thuật số. Công ty đã liên kết vụ tấn công với nhóm tin tặc được nhà nước Triều Tiên hậu thuẫn là Lazarus Theo chủ đề X được công bố vào ngày 19 tháng 6, chủ đề này đã trích dẫn những điểm tương đồng với các sự cố trước đây liên quan đến chuyển tiền quốc tế bất hợp pháp và truy cập trái phép vào các sàn giao dịch tiền điện tử. Vi phạm xảy ra vào ngày 8 tháng 5 năm 2025, trong quá trình cập nhật hệ thống ví nóng thông thường. Kẻ tấn công đã khai thác thiết bị của nhân viên để bỏ qua xác thực đa yếu tố bằng cách sử dụng mã thông báo phiên AWS bị đánh cắp. Phần mềm độc hại được cấy ghép thông qua cuộc tấn công kỹ thuật xã hội cho phép tin tặc thực hiện lệnh, đưa tập lệnh vào hệ thống ví và mô phỏng hoạt động hợp pháp trong khi rút tiền. Tài sản đã được chuyển qua nhiều blockchain, bao gồm Ethereum, Solana, Polygon và Tron, và được rửa thông qua các sàn giao dịch phi tập trung và các máy trộn như Tornado Cash, Wasabi Wallet và ThorChain