Agregator danych kryptowalutowych CoinMarketCap potwierdził usunięcie złośliwego kodu, który ostatnio został wstrzykniety na jego stronę internetową, zachęcając użytkowników do oszukańczego wyskakującego okienka proszącego o „weryfikację” ich portfeli. Incydent ten wzbudził nowe obawy odnośnie luk bezpieczeństwa w platformach kryptograficznych o dużym ruchu.
Problem, po raz pierwszy uznany przez CoinMarketCap w piątek za pośrednictwem oficjalnego konta X, dotyczył wyskakującego okienka typu phishing, które rzekomo celowało w niespodziewających się odwiedzających fałszywą wiadomością o weryfikacji portfela.
Firma ogłosiła, że szybko usunęła złośliwy kod, choć śledztwo wciąż trwa, aby ustalić pełny zakres i pochodzenie naruszenia.
"Zidentyfikowaliśmy i usunęliśmy złośliwy kod z naszej strony," oświadczyła firma, dodając, że "nasz zespół kontynuuje dochodzenie i podejmuje kroki mające na celu wzmocnienie naszego bezpieczeństwa."
Aktualizacja pojawiła się zaledwie trzy godziny po tym, jak CoinMarketCap początkowo przyznał się do podejrzanego wyskakującego okienka. Odpowiedź ta nastąpiła po rosnących spekulacjach i ostrzeżeniach użytkowników krążących w mediach społecznościowych, szczególnie na X, gdy użytkownicy zauważyli i zgłaszali podejrzane zachowanie na stronie.
Wyskakujące okienko phishingowe wywołuje natychmiastowy alarm
Złośliwe okienko informacyjne zmuszało użytkowników do podłączenia ich portfeli kryptograficznych pod pretekstem procesu weryfikacji bezpieczeństwa. Kilku użytkowników kryptowalut, w tym znani obserwatorzy on-chain, ostrzegło, że oszustwo to kradnie dane poświadczeń portfela i uprawnienia do tokenów.
Użytkownik kryptowalutowy Auri zamieścił zrzut ekranu wyskakującego okienka i ostrzegł, że prosiło ono użytkowników o podłączenie ich portfela i zatwierdzenie dostępu do tokenów ERC-20 - taktyki powszechnie używanej w schematach wyczerpywania portfela. Po uzyskaniu zgód tokenów, złośliwe osoby mogą przenosić środki bez dalszej interakcji użytkownika.
Tego rodzaju oszustwo nie jest nowością, ale staje się coraz bardziej wyrafinowane, wykorzystując zarówno socjotechnikę, jak i zaufanie do głównych platform w celu oszukiwania użytkowników do kompromitowania swoich portfeli. Oszustwo to zostało szybko zidentyfikowane przez czołowych dostawców portfeli. Zarówno MetaMask, jak i Phantom zgłoszono, że oznaczyli domenę CoinMarketCap jako niebezpieczną podczas okresu ataku.
Użytkownik kryptowalutowy Jet podzielił się, że Phantom, popularny portfel dla aktywów opartych na Solanie i Ethereum, wydał ostrzeżenie przeglądarki oznaczające CoinMarketCap jako "niebezpieczny do używania". To automatyczne oznaczanie czerwonej flagi przez portfele ma na celu zapobieżenie interakcji użytkowników z potencjalnie skompromitowanymi domenami.
Na czas pisania tego tekstu, zespoły bezpieczeństwa z wielu portfeli przeglądarkowych nadal monitorują sytuację, aby zapobiec dalszym szkodom wynikającym z phishingu. CoinMarketCap ponownie podkreślił, że użytkownicy powinni unikać podłączania swoich portfeli do jakichkolwiek wyskakujących okienek lub komunikatów, które nie pochodzą z potwierdzonych i zaufanych interfejsów portfeli.
Trwające śledztwo w sprawie wektora ataku
Choć CoinMarketCap twierdzi, że usunął złośliwy kod, wektor ataku użyty do jego wstrzyknięcia pozostaje niejasny. Firma nie potwierdziła jeszcze, czy sama strona została skompromitowana, czy też atak wywodził się z integracji zewnętrznych, takich jak skrypty reklamowe, które były wykorzystywane na platformach o dużym ruchu.
Firma podkreśliła, że pełne dochodzenie wciąż trwa, a dodatkowe środki bezpieczeństwa są wprowadzane. CoinMarketCap nie ujawnił, czy jakikolwiek użytkownik został dotknięty tym incydentem ani jak długo złośliwy kod był aktywny przed jego odkryciem i usunięciem.
Ostatni incydent zwraca ponowną uwagę na wcześniejsze naruszenie, które dotknęło CoinMarketCap w październiku 2021 roku, kiedy ponad 3,1 miliona adresów e-mail użytkowników wyciekło. Wówczas naruszenie zostało potwierdzone po tym, jak skradzione dane pojawiły się na forach hakerskich i zostały zindeksowane przez usługę powiadamiania o naruszeniach danych Have I Been Pwned.
Chociaż nie zgłoszono, że hasła ani dane osobowe zostały naruszone podczas naruszenia w 2021 roku, pojawienie się kolejnego incydentu dotyczącego bezpieczeństwa na platformie CoinMarketCap wzbudziło obawy dotyczące zdolności witryny do zabezpieczenia swojej infrastruktury i użytkowników.
Biorąc pod uwagę znaczenie CoinMarketCap jako źródła danych dotyczących cen kryptowalut, kapitalizacji rynkowej i śledzenia tokenów, każda luka w bezpieczeństwie na jego platformie ma szeroko zakrojone implikacje dla całego przemysłu. Wyskakujące okienka phishingowe na takich platformach mogą prowadzić do znacznych strat aktywów z powodu zaufania, jakie użytkownicy pokładają w niej.
Rosnący trend ukierunkowanego phishingu kryptowalutowego
Incydent CoinMarketCap jest częścią szerszego trendu coraz bardziej wyrafinowanych oszustw phishingowych celujących w użytkowników kryptowalut. Według Chainalysis, ataki phishingowe i ataki socjotechniczne odpowiadały za ponad 1 miliard dolarów strat w krypto w 2023 roku, a oczekuje się, że liczba ta wzrośnie jeszcze bardziej do 2025 roku, gdy atakujący będą wykorzystywać słabości w zaufanych platformach.
Eksperci ds. bezpieczeństwa Web3 zauważają, że te ataki często rozpoczynają się od kompromitowania sieci dostarczania treści, wtyczek lub warstw reklamowych na renomowanych stronach internetowych. Po wstrzyknięciu, złośliwe skrypty mogą wykonywać działania, takie jak wyświetlanie monitów o połączenie z portfelem, wstrzykiwanie oszukanych żądań zgód czy przekierowywanie użytkowników do fałszywych interfejsów.
W świetle tego incydentu użytkownicy CoinMarketCap są wzywani do zachowania czujności i weryfikowania wszelkich monitów portfeli, które napotkają online. Eksperci ds. bezpieczeństwa zalecają korzystanie wyłącznie z oficjalnych aplikacji portfeli, wyłączenie automatycznych zgód na tokeny i korzystanie z narzędzi takich jak revoke.cash do przeglądania aktywnych uprawnień w portfelu.
MetaMask i inne portfele zaczęły również zwiększać systemy ostrzegawcze, flagi przeglądarki i wykrywanie napędzane AI, aby proaktywnie wychwytywać i blokować te ataki.
Tymczasem przemysł kryptograficzny nadal naciska na lepsze standardy bezpieczeństwa i mechanizmy odpowiedzialnego ujawniania na platformach danych. CoinMarketCap, będący własnością Binance od 2020 roku, stoi przed zwiększoną kontrolą, aby zapewnić, że jego infrastruktura jest zgodna ze swoim statussem jako najczęściej odwiedzanej platformy danych kryptowalutowych na świecie.
Reakcje w branży
Incydent wywołał rozmowy w społeczności kryptograficznej, wzywając wiele osób do zwiększenia przejrzystości ze strony CoinMarketCap dotyczącej tego, jak doszło do ataku i jakie działania zapobiegawcze zostaną podjęte w przyszłości.
Badacze ds. bezpieczeństwa podkreślają również znaczenie współpracy międzysektorowej w dzieleniu się informacjami na temat nowych zagrożeń. W zdecentralizowanym ekosystemie odpowiedzialność za bezpieczeństwo spada nie tylko na użytkowników, ale także na platformy i dostawców infrastruktury, aby wykrywać, komunikować i powstrzymywać zagrożenia w czasie rzeczywistym.
Niektórzy obserwatorzy branżowi wskazywali również na reputacyjne ryzyko, jakie wysokoprofilowe ataki stwarzają dla szerszego przemysłu kryptowalutowego, zwłaszcza w czasie, gdy adopcja mainstreamowa i nadzór regulacyjny rosną.
Szybka eliminacja phishingowego okienka przez CoinMarketCap pokazuje szybkość reakcji, ale atak ten podkreśla trudne wewnętrzne infrastrukturę w branży kryptowalutowej. W miarę jak śledztwo trwa, zarówno użytkownicy, jak i platformy są przypominane o znaczeniu proaktywnego bezpieczeństwa, szybkich protokołów reakcji i edukacji użytkowników w celu zapobiegania stratom aktywów i utrzymania zaufania.