O agregador de dados de criptomoedas CoinMarketCap confirmou a remoção do código malicioso que foi recentemente injetado em seu site, o qual instigava usuários com um pop-up fraudulento solicitando que "verificassem" suas carteiras. O incidente levantou novas preocupações sobre vulnerabilidades de segurança em plataformas de criptomoedas com alto tráfego.
A questão, primeiramente reconhecida pelo CoinMarketCap na sexta-feira via sua conta oficial no X, envolvia um pop-up no estilo phishing que supostamente direcionava visitantes desavisados com uma mensagem falsa de verificação da carteira.
A empresa anunciou que havia removido rapidamente o código malicioso, embora as investigações ainda estejam em andamento para determinar a dimensão completa e a origem da violação.
"Identificamos e removemos o código malicioso de nosso site", afirmou a empresa, adicionando que "nossa equipe continua investigando e tomando medidas para fortalecer nossa segurança."
A atualização veio apenas três horas após o CoinMarketCap inicialmente reconhecer o pop-up suspeito. Essa resposta inicial foi após crescentes especulações e alertas de usuários circulando nas redes sociais, particularmente no X, enquanto os usuários notaram e sinalizaram o comportamento suspeito no site.
Pop-up de Phishing Aciona Alarme Imediato
O pop-up malicioso incitava os usuários a conectarem suas carteiras de criptomoedas sob o pretexto de um processo de verificação de segurança. Vários usuários de criptomoedas, incluindo observadores ativos em blockchain, alertaram que o golpe estava em phishing por credenciais de carteira e permissões de tokens.
O usuário de criptomoeda Auri postou uma captura de tela do pop-up e alertou que solicitava aos usuários que conectassem sua carteira e aprovassem o acesso aos tokens ERC-20 - uma tática comumente usada em esquemas de drenagem de carteira. Uma vez que as aprovações dos tokens são concedidas, atores maliciosos podem transferir ativos sem a interação adicional do usuário.
Este tipo de golpe não é novo, mas se tornou cada vez mais sofisticado, explorando tanto engenharia social quanto a confiança nas plataformas principais para enganar os usuários a comprometerem suas carteiras. O golpe foi rapidamente identificado por provedores de carteira líderes. MetaMask e Phantom foram reportadas como tendo sinalizado o domínio do CoinMarketCap como inseguro durante a janela do ataque.
O usuário de criptomoeda Jet compartilhou que Phantom, uma carteira popular para ativos baseados em Solana e Ethereum, havia emitido um aviso no navegador rotulando o CoinMarketCap como "inseguro para uso". Este sinal vermelho automático por carteiras visa prevenir que os usuários interajam com domínios potencialmente comprometidos.
No momento da escrita, equipes de segurança de várias carteiras baseadas em navegador continuam a monitorar a situação para evitar danos adicionais de phishing. O CoinMarketCap reiterou que os usuários devem evitar conectar suas carteiras a qualquer pop-up ou solicitação que não tenham origem em interfaces de carteiras verificadas e confiáveis.
Investigação em Andamento sobre o Vetor de Ataque
Embora o CoinMarketCap afirme ter removido o código malicioso, o vetor de ataque usado para injetá-lo permanece obscuro. A empresa ainda não confirmou se o próprio site foi comprometido ou se o ataque originou-se de integrações de terceiros, como scripts de publicidade, que historicamente foram explorados em plataformas de alto tráfego.
A empresa enfatizou que uma investigação completa ainda está em andamento e que medidas adicionais de segurança estão sendo implementadas. O CoinMarketCap não divulgou se algum usuário foi afetado ou por quanto tempo o código malicioso esteve ativo antes de ser descoberto e removido.
O mais recente incidente atrai nova atenção para uma violação anterior sofrida pelo CoinMarketCap em outubro de 2021, quando mais de 3,1 milhões de endereços de e-mail de usuários foram vazados. Na época, a violação foi confirmada após que os dados roubados apareceram em fóruns de hacking e foram indexados pelo serviço de notificação de violações de dados Have I Been Pwned.
Embora nenhuma senha ou dado pessoal tenha sido supostamente comprometido na violação de 2021, o aparecimento de outro incidente de segurança na plataforma do CoinMarketCap renovou preocupações sobre a capacidade do site de proteger sua infraestrutura e usuários.
Dada a proeminência do CoinMarketCap como uma fonte de dados fundamental para preços de criptomoedas, capitalizações de mercado e rastreamento de tokens, qualquer falha de segurança em sua plataforma tem implicações de longo alcance em toda a indústria. Pop-ups de phishing em tais plataformas podem levar a perdas significativas de ativos devido ao nível de confiança que os usuários depositam nelas.
A Tendência Crescente de Phishing Alvo em Criptomoedas
O incidente do CoinMarketCap faz parte de uma tendência mais ampla de golpes de phishing cada vez mais sofisticados visando usuários de criptomoedas. De acordo com a Chainalysis, ataques de phishing e engenharia social foram responsáveis por mais de US$ 1 bilhão em perdas de criptomoedas em 2023, uma cifra que se espera subir ainda mais até 2025 à medida que os atacantes exploram fraquezas em plataformas confiáveis.
Especialistas em segurança Web3 observam que esses ataques frequentemente começam comprometendo redes de entrega de conteúdo, plugins ou camadas de publicidade em sites legítimos. Uma vez injetados, scripts maliciosos podem executar ações como exibir prompts de conexão de carteiras, injetar solicitações de aprovação rogue ou redirecionar usuários para interfaces falsas.
À luz deste incidente, os usuários do CoinMarketCap estão sendo incentivados a permanecer vigilantes e a verificar qualquer solicitação de carteira que encontrarem online. Especialistas em segurança recomendam usar apenas aplicativos de carteira oficiais, desativar aprovações automáticas de tokens e utilizar ferramentas como o revoke.cash para revisar permissões ativas em uma carteira.
MetaMask e outras carteiras também começaram a intensificar os sistemas de alerta, flags no navegador e detecção com IA para captar e bloquear esses ataques de forma proativa.
Enquanto isso, a indústria cripto continua a pressionar por melhores padrões de segurança e mecanismos de divulgação responsável entre plataformas de dados. O CoinMarketCap, de propriedade da Binance desde 2020, enfrenta um escrutínio aumentado para garantir que sua infraestrutura esteja à altura de sua condição de plataforma de dados de criptografia mais visitada globalmente.
Reações da Indústria
O incidente gerou conversa em toda a comunidade cripto, com muitos clamando por melhor transparência do CoinMarketCap sobre como o ataque ocorreu e quais medidas preventivas serão tomadas no futuro.
Pesquisadores de segurança também enfatizaram a importância da colaboração em toda a indústria para compartilhar inteligência sobre ameaças emergentes. Em um ecossistema descentralizado, a responsabilidade pela segurança recai não apenas sobre os usuários, mas também sobre plataformas e provedores de infraestrutura para detectar, comunicar e conter ameaças em tempo real.
Alguns observadores da indústria também apontaram os riscos reputacionais que ataques de alto perfil representam para a indústria cripto como um todo, especialmente em um momento em que a adoção mainstream e o escrutínio regulatório estão aumentando.
A rápida remoção do popup de phishing pelo CoinMarketCap demonstra capacidade de resposta, mas o ataque destaca vulnerabilidades contínuas na infraestrutura web da indústria cripto. À medida que a investigação continua, usuários e plataformas são lembrados da importância da segurança proativa, protocolos de resposta rápida e educação do usuário para prevenir perdas de ativos e manter a confiança.