Криптоагрегатор данных CoinMarketCap подтвердил удаление вредоносного кода, недавно внедренного на его веб-сайт, который побуждал пользователей пройти фальшивую проверку своих кошельков. Этот инцидент вызвал новые опасения по поводу уязвимостей безопасности на высокопосещаемых криптоплатформах.
Проблема, впервые отмеченная CoinMarketCap в пятницу через его официальный аккаунт X, касалась всплывающего окна в стиле фишинга, которое, предположительно, нацеливалось на ничего не подозревающих посетителей с поддельным сообщением о проверке кошелька.
Компания объявила, что быстро удалила вредоносный код, хотя расследования все еще продолжаются, чтобы определить полный масштаб и источник взлома.
«Мы выявили и удалили вредоносный код с нашего сайта», - заявила компания, добавив, что «наша команда продолжает расследование и принимает меры для укрепления нашей безопасности».
Обновление появилось всего через три часа после того, как CoinMarketCap впервые признал подозрительное всплывающее окно. Этот начальный ответ последовал за растущими спекуляциями и предупреждениями пользователей, распространяющимися в социальных сетях, особенно на X, так как пользователи заметили и сигнализировали о подозрительном поведении на сайте.
Немедленная тревога после фишинг-всплывающего окна
Вредоносное всплывающее окно побуждало пользователей подключать свои криптокошельки под видом процесса безопасности. Несколько криптопользователей, включая известных наблюдателей on-chain, предупредили, что мухлеж добывает учетные данные кошелька и разрешения на токены.
Пользователь криптовалют Auri выложил снимок экрана с всплывающим окном и предупредил, что оно запрашивало у пользователей подключение кошелька и одобрение доступа к токенам ERC-20 - тактики, обычно используемой в схемах опустошения кошельков. После предоставления разрешений на токены, злоумышленники могут переводить активы без дальнейшего взаимодействия с пользователем.
Этот вид мошенничества не нов, но стал более изощренным, эксплуатируя как социальную инженерию, так и доверие к крупным платформам, чтобы обмануть пользователей и вынудить их скомпрометировать свои кошельки. Мошенничество быстро было выявлено ведущими провайдерами кошельков. MetaMask и Phantom оба сообщали о маркировке домена CoinMarketCap как небезопасного в период атаки.
Пользователь криптовалюты Jet поделился, что Phantom, популярный кошелек для активов на основе Solana и Ethereum, выдал предупреждение браузера об обозначении CoinMarketCap как «опасного для использования». Этот автоматический флажок со стороны кошельков предназначен для предотвращения взаимодействия пользователей с потенциально скомпрометированными доменами.
На момент написания статьи, команды безопасности из нескольких браузерных кошельков продолжают мониторить ситуацию, чтобы предотвратить дальнейший урон от фишинга. CoinMarketCap повторил, что пользователям следует избегать подключения своих кошельков к любым всплывающим окнам или запросам, которые не исходят от проверенных и доверенных интерфейсов кошельков.
Продолжающееся расследование атаки
Хотя CoinMarketCap утверждает, что удалил вредоносный код, вектор атаки, использованный для его внедрения, остается неясным. Компания пока не подтвердила, был ли сам сайт скомпрометирован или атака произошла через сторонние интеграции, такие как рекламные скрипты, которые исторически использовались для атак на высокопосещаемых платформах.
Компания подчеркнула, что полное расследование все еще в процессе и что дополнительные меры безопасности реализуются. CoinMarketCap не раскрыл, были ли затронуты пользователи или как долго вредоносный код работал до его обнаружения и удаления.
Последний инцидент снова привлекает внимание к предыдущему взлому, пережитому CoinMarketCap в октябре 2021г., когда более 3.1 миллиона адресов электронной почты пользователей были утекли. В то время взлом был подтвержден после того, как украденные данные появились на хакерских форумах и были проиндексированы сервисом уведомлений о нарушениях безопасности Have I Been Pwned.
Хотя, по сообщениям, в результате взлома 2021 года ни пароли, ни личные данные не были скомпрометированы, появление очередного инцидента безопасности на платформе CoinMarketCap снова вызывает опасения по поводу способности сайта защищать свою инфраструктуру и пользователей.
Учитывая видное место CoinMarketCap в качестве источника данных для цен на криптовалюты, рыночных капитализаций и отслеживания токенов, любое нарушение безопасности на его платформе имеет широкие последствия для всей индустрии. Фишинговые всплывающие окна на таких платформах могут приводить к значительным потерям активов из-за уровня доверия, которое пользователи к ним питают.
Возрастающий тренд нацеленных атак фишинга криптовалют
Инцидент с CoinMarketCap является частью более широкой тенденции к все более изощренным мошенничествам с фишингом, нацеленным на пользователей криптоплатформ. По данным Chainalysis, фишинга и социального инжиниринга составили более $1 миллиарда в потерях криптовалют в 2023 году, и ожидается, что эта цифра возрастет в 2025 году, поскольку злоумышленники будут использовать слабости в доверенных платформах.
Эксперты Web3 безопасности отмечают, что такие атаки часто начинаются с компрометации сетей доставки контента, плагинов или рекламных слоев на легитимных веб-сайтах. После внедрения, вредоносные скрипты могут выполнять действия, такие как отображение запросов на подключение кошельков, встраивание поддельных запросов на утверждение или переадресация пользователей на фальшивые интерфейсы.
В свете этого инцидента пользователям CoinMarketCap рекомендуется оставаться бдительными и проверять любые запросы на подключение кошелька, с которыми они сталкиваются онлайн. Эксперты безопасности рекомендуют использовать только официальные приложения кошельков, отключать автоматические одобрения токенов и использовать такие инструменты, как revoke.cash, для проверки активных разрешений на кошельке.
MetaMask и другие кошельки также начали усиливать системы предупреждений, браузерные флажки и детекцию с использованием ИИ для проактивного обнаружения и блокировки таких атак.
Между тем, криптоиндустрия продолжает продвигать более высокие стандарты безопасности и ответственные механизмы раскрытия среди платформ данных. CoinMarketCap, принадлежащий Binance с 2020 года, сталкивается с увеличенной проверкой, чтобы обеспечить, что его инфраструктура соответствует его статусу самой посещаемой платформы данных о криптовалютах в мире.
Реакция индустрии
Инцидент вызвал обсуждение в крипто-сообществе, многие из которых призывают к большей прозрачности со стороны CoinMarketCap относительно того, как произошла атака и какие меры будут предприняты в будущем для ее предотвращения.
Исследователи безопасности также подчеркнули важность отраслевого сотрудничества для обмена разведданными о возникающих угрозах. В децентрализованной экосистеме ответственность за безопасность лежит не только на пользователях, но и на платформах и поставщиках инфраструктуры для выявления, общения и сдерживания угроз в реальном времени.
Некоторые наблюдатели индустрии также указали на репутационные риски, которые такие атаки высокого профиля представляют для более широкой криптоиндустрии, особенно в то время, когда мейнстримное принятие и регулирующее внимание увеличиваются.
Быстрое удаление фишингового окна CoinMarketCap демонстрирует оперативность, но атака подчеркивает продолжающиеся уязвимости в веб-инфраструктуре криптоиндустрии. По мере продолжения расследования, пользователи и платформы снова напоминают о важности проактивной безопасности, быстрых протоколов реагирования и обучении пользователей для предотвращения потери активов и поддержания доверия.