CoinmarketCap, la plate-forme de données du marché des crypto-monnaies avec plus de 340 millions de visites mensuelles, a été confrontée à un compromis frontal plus tôt dans la journée.
La violation a impliqué l’injection de code JavaScript malveillant dans la fonction «Doodles» rotative du site, demandant aux utilisateurs de «vérifier le portefeuille», un pop-up destiné à voler leurs fonds.
Selon un analyste en chaîne utilisant le pseudonyme okhotshot sur x, le code malveillant a été livré grâce à des fichiers JSON manipulés servis via la propre API backend de CoinmarketCap.
Les données ont été utilisées pour charger des «griffonnages» animés sur la première page. Lorsqu’un gribouillage intitulé «CoinmarketClap» a été chargé, il a silencieusement exécuté JavaScript qui a redirigé les utilisateurs vers un draineur de portefeuille surnommé «imitateur», une interface trompeuse pour les inciter à l’autorisation de transferts de jetons.
L’attaque n’était pas immédiatement évidente pour tous les utilisateurs, car le site a montré des griffonnages au hasard à chaque visite. Pourtant, la visite du point final / doodles / aurait déclenché le draineur de portefeuille à chaque occasion. Les enquêteurs de la blockchain ont identifié une adresse malveillante connue pour recevoir des approbations de jetons: 0x000025B5AB50F8D9F987FEB52EEE779E34A0000.
🚨 CoinmarketCap est piraté 🚨
POV: Vous vous épuisez (n’essayez pas ça à la maison) 👇 pic.twitter.com/cgqhmfkato
– Apoorv.eth (@apoorveth) 20 juin 2025
Les experts en sécurité estiment que l’attaque a pu exploiter une vulnérabilité dans le moteur d’animation utilisé pour rendre les griffonnages, probablement Lottie ou un outil similaire, permettant une exécution arbitraire JavaScript via la configuration JSON.
Selon les analystes de COINSpect, les attaquants semblaient avoir un accès backend et définir un temps d’expiration sur l’exploit, qui aurait pu être planifié à l’avance.
CoinmarketCap a publié une déclaration publique sur la violation par le biais de leur compte X officiel, disant: «Nous avons identifié et supprimé le code malveillant de notre site. Notre équipe continue d’enquêter et de prendre des mesures pour renforcer notre sécurité.”
La société a ajouté que le pop-up affecté a été supprimé et que les systèmes sont entièrement restaurés.
Bien que l’attaque n’ait été ciblée que sur l’interface frontale, les professionnels de la sécurité incitent les investisseurs à être prudents quant à l’accès à leurs portefeuilles. CoinmarketCap est une plate-forme que de nombreux commerçants et investisseurs en crypto-monnaies visitent quotidiennement.
“L’échelle de cette arnaque pourrait être énorme, elle a l’air totalement légitime, pas de drapeau rouge évident, a déclaré un commerçant sur les réseaux sociaux.»Vous visitez simplement un site que vous contrôlez quotidiennement. Prenez soin de vous. “
Les experts estiment également que les utilisateurs qui ont connecté leurs portefeuilles ou approuvé des transactions pendant la fenêtre de violation ont peut-être déjà été compromis. Par précaution, ceux qui ont cédé aux demandes malveillantes sont invités à révoquer les approbations de jetons récentes et à éviter d’interagir avec des pop-ups similaires sur des plateformes liées à la crypto-monnaie.
Comme signalé par Cryptopolitan jeudi, l’une des plus grandes violations de données connues de l’histoire d’Internet a également eu lieu cette semaine. Plus de 16 milliards de noms d’utilisateur et de mots de passe auraient été divulgués.
Bitopro confirme le vol de crypto de 11 millions de dollars par le groupe Lazarus
Dans d’autres nouvelles connexes, l’échange de crypto-monnaie taïwanais Bitopro a confirmé une violation entraînant un vol d’environ 11 millions de dollars d’actifs numériques. La société a lié l’attaque au groupe de piratage nord-coréen soutenu par l’État Lazarus.
Selon un fil X publié le 19 juin, il a cité des similitudes avec les incidents précédents impliquant des transferts de fonds internationaux illicites et un accès non autorisé aux échanges de cryptographie.
La violation s’est produite le 8 mai 2025, lors d’une mise à jour du système de portefeuille chaud de routine. Les attaquants ont exploité un dispositif d’employé pour contourner l’authentification multi-facteurs à l’aide de jetons de session AWS volés. Les logiciels malveillants implantés via une attaque d’ingénierie sociale ont permis aux pirates d’exécuter des commandes, d’injecter des scripts dans le système de portefeuille et de simuler l’activité légitime tout en siphonnant des fonds.
Les actifs ont été drainés sur plusieurs blockchains, notamment Ethereum, Solana, Polygon et Tron, et blanchis par des échanges et des mélangeurs décentralisés tels que Tornado Cash, Wasabi Wallet et Thorchain.
Cryptopolitan Academy : fatiguée des balançoires du marché ? Découvrez comment Defi peut vous aider à créer un revenu passif stable. Inscrivez-vous maintenant.
Source: https://www.cryptopolitan.com/coinmarketcap-front-end-compromisé/
Résumé : CoinMarketCap a été compromis, entraînant l’injection de code malveillant destiné à voler des fonds des utilisateurs. Les experts recommandent à tous les investisseurs de faire preuve de prudence et de vérifier la sécurité de leurs portefeuilles.
