CoinMarketCap взломали через картинку: пользователи лишились крипты из-за поддельного Web3-окна

Популярный криптосервис CoinMarketCap стал жертвой атаки на цепочку поставок, в результате чего с кошельков пользователей было украдено более $43 000. Всё выглядело безобидно — на главной странице отображался праздничный дудл (рисунок), но за ним скрывался вредоносный код. Как только пользователь подключал свой Web3-кошелёк, его активы мгновенно утекали злоумышленникам.

В пятницу вечером, 20 июня, многие пользователи начали замечать странное всплывающее окно с предложением «подключить кошелёк к CoinMarketCap». Интерфейс выглядел привычно, с логотипом сервиса и оформлением в стиле Web3, но это была подделка. В действительности это окно запускал вредоносный скрипт, встроенный в изображение на главной странице сайта через API. Как объясняет команда c/side, злоумышленники подменили JSON-файл, загружаемый сайтом, и внедрили туда ссылку на сторонний скрипт с домена static.cdnkit[.]io.

CoinMarketCap подтвердил атаку, заявив, что проблема была связана с «уязвимостью в дудле на главной». После обнаружения вредоносного элемента команда быстро устранила угрозу и заявила, что все системы работают нормально, а сайт вновь безопасен для пользователей.

Но ущерб уже нанесен. В Telegram-группе, где обсуждалась атака, хакеры поделились скриншотом панели администратора wallet-drainer — она показывала украденные средства (более $43 тыс.) и 110 скомпрометированных кошельков. В обсуждениях участники говорили на французском, что может указывать на происхождение группы.

Такие атаки становятся всё опаснее: wallet drainers не требуют логина и пароля — достаточно одного клика в поддельном интерфейсе. В 2024 году подобные схемы украли около $500 миллионов, а Mozilla уже начала внедрять защиту от подобных скриптов в расширениях Firefox.