L'agrégateur de données crypto CoinMarketCap a confirmé la suppression du code malveillant récemment injecté dans son site Web, qui demandait aux utilisateurs avec une fenêtre contextuelle frauduleuse de "vérifier" leurs portefeuilles. L'incident a soulevé de nouvelles préoccupations concernant les vulnérabilités de sécurité sur les plateformes crypto à fort trafic.
Le problème, reconnu pour la première fois par CoinMarketCap vendredi via son compte officiel X, impliquait une fenêtre contextuelle de type hameçonnage qui aurait ciblé des visiteurs sans méfiance avec un faux message de vérification de portefeuille.
La société a annoncé qu'elle avait rapidement supprimé le code malveillant, bien que les enquêtes soient toujours en cours pour déterminer l'origine et l'étendue complète de la violation.
"Nous avons identifié et supprimé le code malveillant de notre site", a déclaré l'entreprise, ajoutant que "notre équipe continue d'enquêter et de prendre des mesures pour renforcer notre sécurité."
Cette mise à jour est venue seulement trois heures après que CoinMarketCap ait initialement reconnu la fenêtre contextuelle suspecte. Cette réponse initiale a suivi une spéculation croissante et des avertissements d'utilisateurs circulant sur les réseaux sociaux, en particulier sur X, lorsque les utilisateurs ont remarqué et signalé le comportement suspect sur le site.
La fenêtre contextuelle de phishing déclenche une alerte immédiate
La fenêtre contextuelle malveillante a incité les utilisateurs à connecter leurs portefeuilles crypto sous couvert d'un processus de vérification de sécurité. Plusieurs utilisateurs crypto, y compris des observateurs sur la chaîne de premier plan, ont averti que l'escroquerie cherchait à obtenir des identifiants de portefeuille et des autorisations de jetons.
L'utilisateur crypto Auri a posté une capture d'écran de la fenêtre contextuelle et a averti qu'elle demandait aux utilisateurs de connecter leur portefeuille et d'approuver l'accès aux jetons ERC-20 - une tactique couramment utilisée dans les schémas de vidange de portefeuille. Une fois les approbations de jetons accordées, les acteurs malveillants peuvent transférer des actifs sans nouvelle interaction de l'utilisateur.
Ce type d'escroquerie n'est pas nouveau mais est devenu de plus en plus sophistiqué, exploitant à la fois l'ingénierie sociale et la confiance dans les grandes plateformes pour tromper les utilisateurs et compromettre leurs portefeuilles. L'escroquerie a été rapidement identifiée par les principaux fournisseurs de portefeuilles. MetaMask et Phantom ont tous deux été signalés comme ayant marqué le domaine CoinMarketCap comme dangereux pendant la fenêtre d'attaque.
L'utilisateur crypto Jet a partagé que Phantom, un portefeuille populaire pour les actifs basés sur Solana et Ethereum, avait émis un avertissement de navigateur signalant CoinMarketCap comme "dangereux à utiliser." Ce marquage automatique par les portefeuilles est conçu pour empêcher les utilisateurs d'interagir avec des domaines potentiellement compromis.
Au moment de la rédaction, les équipes de sécurité de plusieurs portefeuilles basés sur navigateur continuent de surveiller la situation pour prévenir d'autres dommages de phishing. CoinMarketCap a réitéré que les utilisateurs devraient éviter de connecter leurs portefeuilles à des fenêtres contextuelles ou des invites qui ne proviennent pas d'interfaces de portefeuille vérifiées et dignes de confiance.
Enquête en cours sur le vecteur de l'attaque
Bien que CoinMarketCap prétende avoir supprimé le code malveillant, le vecteur d'attaque utilisé pour l'injecter reste flou. L'entreprise n'a pas encore confirmé si le site lui-même a été compromis ou si l'attaque provient d'intégrations tierces, telles que des scripts publicitaires, qui ont historiquement été exploités sur des plateformes à fort trafic.
L'entreprise a souligné qu'une enquête complète est toujours en cours et que des mesures de sécurité supplémentaires sont mises en place. CoinMarketCap n'a pas divulgué si des utilisateurs ont été affectés ou combien de temps le code malveillant a été actif avant d'être découvert et supprimé.
Le dernier incident attire à nouveau l'attention sur une précédente violation subie par CoinMarketCap en octobre 2021, lorsque plus de 3,1 millions d'adresses e-mail d'utilisateurs ont été divulguées. À l'époque, la violation a été confirmée après que les données volées soient apparues sur des forums de piratage et aient été indexées par le service de notification de violation de données Have I Been Pwned.
Bien qu'aucun mot de passe ni donnée personnelle n'aient été signalés comme compromis lors de la violation de 2021, l'apparition d'un autre incident de sécurité sur la plateforme de CoinMarketCap a renouvelé les préoccupations concernant la capacité du site à protéger son infrastructure et ses utilisateurs.
Étant donné l'importance de CoinMarketCap en tant que source de données essentielle pour les prix des crypto-monnaies, les capitalisations boursières et le suivi des jetons, tout manquement à la sécurité sur sa plateforme a des implications de grande portée pour l'industrie. Les fenêtres contextuelles de phishing sur de telles plateformes peuvent entraîner des pertes d'actifs importantes en raison du niveau de confiance que les utilisateurs leur accordent.
La tendance croissante du phishing crypto ciblé
L'incident de CoinMarketCap fait partie d'une tendance plus large d'escroqueries de phishing de plus en plus sophistiquées ciblant les utilisateurs de crypto. Selon Chainalysis, les attaques de phishing et d'ingénierie sociale ont représenté plus d'un milliard de dollars de pertes en crypto en 2023, un chiffre qui devrait encore augmenter en 2025 alors que les attaquants exploitent les faiblesses des plateformes de confiance.
Les experts en sécurité Web3 notent que ces attaques commencent souvent par compromettre les réseaux de diffusion de contenu, les plugins ou les couches publicitaires sur les sites Web légitimes. Une fois injectés, les scripts malveillants peuvent exécuter des actions telles que l'affichage de demandes de connexion à des portefeuilles, l'injection de demandes d'approbation malveillantes ou la redirection des utilisateurs vers de fausses interfaces.
À la lumière de cet incident, les utilisateurs de CoinMarketCap sont encouragés à rester vigilants et à vérifier toute invite de portefeuille qu'ils rencontrent en ligne. Les experts en sécurité recommandent d'utiliser uniquement les applications officielles de portefeuille, de désactiver les approbations automatiques de jetons et d'utiliser des outils comme revoke.cash pour examiner les autorisations actives sur un portefeuille.
MetaMask et d'autres portefeuilles ont également commencé à renforcer les systèmes d'alerte, les marques de navigateur et la détection alimentée par l'IA pour capturer et bloquer ces attaques de manière proactive.
Pendant ce temps, l'industrie crypto continue de pousser pour de meilleures normes de sécurité et des mécanismes de divulgation responsable parmi les plateformes de données. CoinMarketCap, détenu par Binance depuis 2020, fait l'objet d'un examen accru pour garantir que son infrastructure est à la hauteur de son statut de plateforme de données crypto la plus visitée au monde.
Réactions de l'industrie
L'incident a suscité de la conversation dans la communauté crypto, beaucoup appelant à plus de transparence de la part de CoinMarketCap concernant la façon dont l'attaque s'est produite et quelles mesures préventives seront prises à l'avenir.
Les chercheurs en sécurité ont également souligné l'importance d'une collaboration à l'échelle de l'industrie pour partager de l'information sur les menaces émergentes. Dans un écosystème décentralisé, la responsabilité de la sécurité n'incombe pas seulement aux utilisateurs, mais aussi aux plateformes et aux fournisseurs d'infrastructure pour détecter, communiquer et contenir les menaces en temps réel.
Certains observateurs de l'industrie ont également souligné les risques de réputation que les attaques de grande envergure posent à l'ensemble de l'industrie crypto, d'autant plus à un moment où l'adoption grand public et la surveillance réglementaire augmentent.
La suppression rapide de la fenêtre contextuelle de phishing par CoinMarketCap démontre sa réactivité, mais l'attaque souligne les vulnérabilités persistantes dans l'infrastructure Web de l'industrie crypto. Alors que l'enquête se poursuit, les utilisateurs et les plateformes sont rappelés à l'importance d'une sécurité proactive, de protocoles de réponse rapide et de l'éducation des utilisateurs pour éviter la perte d'actifs et maintenir la confiance.