L'aggregatore di dati crypto CoinMarketCap ha confermato la rimozione del codice malevolo recentemente iniettato nel suo sito web, che spingeva gli utenti a un popup fraudolento chiedendo loro di "verificare" i loro portafogli. L'incidente ha sollevato nuove preoccupazioni sulle vulnerabilità di sicurezza su piattaforme crypto ad alto traffico.
La questione, riconosciuta per la prima volta da CoinMarketCap venerdì tramite il suo account ufficiale X, ha coinvolto un popup di phishing che, secondo quanto riferito, prendeva di mira i visitatori ignari con un messaggio di verifica del portafoglio falso.
L'azienda ha annunciato di aver rapidamente eliminato il codice malevolo, sebbene le indagini siano ancora in corso per determinare la portata e l'origine della violazione.
"Abbiamo identificato e rimosso il codice malevolo dal nostro sito," ha dichiarato l'azienda, aggiungendo che "il nostro team sta continuando a indagare e prendere provvedimenti per rafforzare la nostra sicurezza."
L'aggiornamento è arrivato solo tre ore dopo che CoinMarketCap ha inizialmente riconosciuto il popup sospetto. Questa prima risposta è seguita a speculazioni crescenti e avvertimenti degli utenti che circolavano sui social media, in particolare su X, quando gli utenti hanno notato e segnalato il comportamento sospetto sul sito.
Popup di phishing che innesca immediato allarme
Il popup malevolo spingeva gli utenti a connettere i loro portafogli crypto sotto la copertura di un processo di verifica della sicurezza. Diversi utenti crypto, inclusi importanti osservatori on-chain, hanno avvertito che la truffa mirava a ottenere credenziali del portafoglio e permessi dei token.
L'utente crypto Auri ha pubblicato uno screenshot del popup avvertendo che richiedeva agli utenti di collegare il loro portafoglio e approvare accesso ai token ERC-20 - una tattica comunemente utilizzata nei dreni di portafoglio. Una volta concessi i permessi per i token, gli attori malevoli possono trasferire asset senza ulteriori interazioni dell'utente.
Questo tipo di truffa non è nuovo ma è diventato sempre più sofisticato, sfruttando sia l'ingegneria sociale sia la fiducia nei grandi piattaforme per ingannare gli utenti a compromettere i loro portafogli. La truffa è stata rapidamente identificata dai principali fornitori di portafogli: si è riferito che MetaMask e Phantom abbiano segnalato il dominio CoinMarketCap come non sicuro durante la finestra dell'attacco.
L'utente crypto Jet ha condiviso che Phantom, un portafoglio popolare per asset basati su Solana ed Ethereum, ha emesso un avvertimento nel browser che etichettava CoinMarketCap come "non sicuro da utilizzare." Questo flagging automatico da parte dei portafogli è progettato per prevenire che gli utenti si impegnino con domini potenzialmente compromessi.
Al momento della scrittura, i team di sicurezza di vari portafogli basati su browser continuano a monitorare la situazione per prevenire danni da phishing aggiuntivi. CoinMarketCap ha ribadito che gli utenti dovrebbero evitare di connettere i loro portafogli a qualsiasi popup o messaggio che non provenga da interfacce di portafoglio verificate e affidabili.
Indagine in corso sul vettore d'attacco
Anche se CoinMarketCap afferma di aver rimosso il codice malevolo, il vettore d'attacco utilizzato per iniettarlo rimane poco chiaro. L'azienda non ha ancora confermato se il sito stesso fosse compromesso o se l'attacco originasse da integrazioni di terze parti, come script pubblicitari, che storicamente sono stati sfruttati su piattaforme ad alto traffico.
L'azienda ha sottolineato che un'indagine completa è ancora in corso e che ulteriori misure di sicurezza sono in atto. CoinMarketCap non ha divulgato se alcuni utenti siano stati colpiti o da quanto tempo il codice malevolo sia stato attivo prima di essere scoperto e rimosso.
L'ultimo incidente riporta l'attenzione su una precedente violazione subita da CoinMarketCap nell'ottobre 2021, quando oltre 3,1 milioni di indirizzi email degli utenti furono esfiltrati. All'epoca, la violazione fu confermata dopo che i dati rubati apparvero su forum di hacking e furono indicizzati dal servizio di notifica di violazione dati Have I Been Pwned.
Anche se nessuna password o dato personale fu compromessa nella violazione del 2021, l'apparizione di un altro incidente di sicurezza sulla piattaforma di CoinMarketCap ha rinnovato le preoccupazioni sulla capacità del sito di proteggere la propria infrastruttura e i propri utenti.
Data l'importanza di CoinMarketCap come fonte fondamentale per i prezzi delle criptovalute, capitalizzazioni di mercato e tracciamento dei token, qualsiasi falla di sicurezza sulla sua piattaforma ha implicazioni di vasta portata in tutto il settore. I popup di phishing su tali piattaforme possono causare perdite significative di asset a causa del livello di fiducia che gli utenti ripongono in essi.
La tendenza crescente del phishing mirato alle criptovalute
L'incidente di CoinMarketCap fa parte di una tendenza più ampia di truffe di phishing sempre più sofisticate che prendono di mira gli utenti di criptovalute. Secondo Chainalysis, gli attacchi di phishing e ingegneria sociale hanno rappresentato oltre 1 miliardo di dollari di perdite in criptovalute nel 2023, una cifra prevista in aumento nel 2025 mentre gli aggressori sfruttano le debolezze nelle piattaforme di fiducia.
Gli esperti di sicurezza Web3 notano che questi attacchi spesso iniziano compromettendo reti di distribuzione dei contenuti, plugin o strati pubblicitari su siti web legittimi. Una volta iniettati, script malevoli possono eseguire azioni come mostrare richieste di collegamento del portafoglio, iniettare richieste di approvazione canaglia o reindirizzare gli utenti a interfacce false.
Alla luce di questo incidente, gli utenti di CoinMarketCap sono invitati a rimanere vigili e a verificare qualsiasi richiesta di portafoglio che incontrano online. Gli esperti di sicurezza raccomandano di utilizzare solo applicazioni ufficiali dei portafogli, disabilitare le approvazioni automatiche dei token e utilizzare strumenti come revoke.cash per rivedere le autorizzazioni attive su un portafoglio.
Anche MetaMask e altri portafogli hanno iniziato a incrementare i sistemi di avviso, flag del browser e rilevamento basato su AI per catturare e bloccare proattivamente questi attacchi.
Nel frattempo, l'industria crypto continua a spingere per migliori standard di sicurezza e meccanismi di divulgazione responsabile tra le piattaforme di dati. CoinMarketCap, di proprietà di Binance dal 2020, affronta una maggiore scrutinio per garantire che la sua infrastruttura sia all'altezza del suo status di piattaforma di dati crypto più visitata a livello globale.
Reazioni dell'industria
L'incidente ha scatenato discussioni in tutta la comunità crypto, con molti che chiedono maggiore trasparenza a CoinMarketCap su come si è verificato l'attacco e quali misure preventive saranno adottate in futuro.
I ricercatori di sicurezza hanno anche sottolineato l'importanza di una collaborazione tra l'intera industria per condividere intelligence sulle minacce emergenti. In un ecosistema decentralizzato, la responsabilità per la sicurezza non ricade solo sugli utenti, ma anche su piattaforme e fornitori di infrastrutture per rilevare, comunicare e contenere le minacce in tempo reale.
Alcuni osservatori del settore hanno anche evidenziato i rischi di reputazione che attacchi di alto profilo pongono al più ampio settore crypto, specialmente in un momento in cui l'adozione mainstream e il controllo normativo stanno aumentando.
La rapida rimozione del popup di phishing da parte di CoinMarketCap dimostra reattività, ma l'attacco evidenzia le vulnerabilità in corso nell'infrastruttura web dell'industria crypto. Con il proseguimento delle indagini, utenti e piattaforme sono ricordati dell'importanza della sicurezza proattiva, dei protocolli di risposta rapida e dell'educazione degli utenti per prevenire la perdita di asset e mantenere la fiducia.