CoinmarketCap sufrió una violación frontal que involucra a JavaScript malicioso

CoinmarketCap, la plataforma de datos del mercado de criptomonedas con más de 340 millones de visitas mensuales, enfrentó un compromiso de front-end hoy.

La violación implicó la inyección del código de JavaScript malicioso en la característica de "garabatos" rotativos del sitio, pidiendo a los usuarios que "verifiquen la billetera", una ventana emergente destinada a robar sus fondos.

Según un analista en la cadena que pasa por el seudónimo de OkhotShot en X, el código malicioso se entregó a través de archivos JSON manipulados atendidos a través de la propia API de backend de CoinMarketCap.

Los datos se usaron para cargar "garabatos" animados en la página principal. Cuando se cargó un garabato titulado "CoinMarketClap", ejecutó en silencio a JavaScript que redirigió a los usuarios a un drenador de billetera denominado "imitador", una interfaz engañosa para engañarlos para que autorice las transferencias de token.

El ataque no fue evidente de inmediato para todos los usuarios porque el sitio giró garabatos al azar por visita. Sin embargo, visitar el / Doodles / Endpoint, según los informes, desencadenó el drenador de la billetera en cada ocasión. Investigadores de blockchaindentuna dirección maliciosa conocida que recibe aprobaciones de token: 0x000025B5AB50F8D9F987FEB52EEE7479E34A0000.

🚨 CoinmarketCap está pirateado 🚨

POV: Te estás agotando (no intentes esto en casa) 👇 pic.twitter.com/cgqhmfkato

- Apoorv.eth (@apoorveth) 20 de junio de 2025

Los expertos en seguridad creen que el ataque puede haber explotado una vulnerabilidad en el motor de animación utilizado para representar los garabatos, probablemente Lottie o una herramienta similar, lo que permite la ejecución arbitraria de JavaScript a través de la configuración JSON. 

Según los analistas de Coinspect, los atacantes parecían tener acceso de backend y establecer un tiempo de vencimiento en la exploit, que podría haberse planeado por adelantado.

CoinMarketCap dio una declaración pública sobre la violación a través de su cuenta oficial de X, diciendo: " Hemos hecho dent y eliminamos el código malicioso de nuestro sitio. Nuestro equipo continúa investigando y tomando medidas para fortalecer nuestra seguridad "

La compañía agregó que se ha eliminado la ventana emergente afectada y los sistemas están completamente restaurados.

Aunque el ataque se dirigió solo a la interfaz front-end, los profesionales de la seguridad suplican que los inversores sean cautelosos con el acceso a sus billeteras. CoinMarketCap es una plataforma que muchos comerciantes de criptografía y los inversores visitan un minuto a minuto.

" La escala de esta estafa podría ser enorme, se ve totalmente legítima, sin bandera roja obvia ", calculó un comerciante en las redes sociales. " Estás visitando un sitio que revisas diariamente. Cuídate ".

Los expertos también creen que los usuarios que conectaron sus billeteras o transacciones aprobadas durante la ventana de violación pueden haber sido comprometidos. Como precaución, se aconseja a aquellos que se enamoraron de las solicitudes maliciosas que revocen cualquier aprobación de token reciente y eviten interactuar con ventanas emergentes similares en plataformas relacionadas con criptografía.

Según lo informado por Cryptopolitan el jueves, una de las mayores infracciones de datos en la historia de Internet también tuvo lugar esta semana. Supuestamente se filtraron más de 16 mil millones de nombres de usuario y contraseñas.

BitoPro confirma el robo de cripto de $ 11 millones por Lázaro Group

En otras noticias relacionadas, el intercambio de criptomonedas taiwaneses Bitoopro confirmó una violación que resultó en el robo de aproximadamente $ 11 millones en activos digitales. La compañía vinculó el ataque al grupo de piratería respaldado por el estado de Corea del Norte Lázaro. 

Según un hilo X publicado el 19 de junio, citó similitudes con losdentanteriores que involucran transferencias de fondos internacionales ilícitos y acceso no autorizado a intercambios criptográficos.

La violación ocurrió el 8 de mayo de 2025, durante una actualización de rutina del sistema de billetera caliente. Los atacantes explotaron un dispositivo de empleados para evitar la autenticación de múltiples factores utilizando tokens de sesión de AWS robados. El malware implantado a través de un ataque de ingeniería social permitió a los piratas informáticos ejecutar comandos, inyectar scripts en el sistema de billetera y simular una actividad legítima mientras desvía fondos.

Los activos se drenaron a través de múltiples blockchains, incluidos Ethereum, Solana, Polygon y Tron, y se lavaron a través de intercambios y mezcladores descentralizados como Tornado Cash, Wasabi Wallet y Thorchain. 

Academia Cryptopolitan: ¿Cansado de columpios del mercado? Aprenda cómo DeFi puede ayudarlo a generar ingresos pasivos constantes. Registrarse ahora