CoinMarketCap, la plataforma de datos del mercado de criptomonedas con más de 340 millones de visitas mensuales, enfrentó un compromiso del front-end más temprano hoy.
La brecha involucró la inyección de código JavaScript malicioso en la función de “Doodles” rotativos del sitio, pidiendo a los usuarios que “verifiquen su billetera”, un pop-up destinado a robar sus fondos.
Según un analista en la cadena que utiliza el seudónimo okHOTSHOT en X, el código malicioso fue entregado a través de archivos JSON manipulados servidos a través de la propia API backend de CoinMarketCap.
Los datos se utilizaron para cargar “doodles” animados en la página principal. Cuando se cargó un doodle titulado “CoinmarketCLAP”, ejecutó silenciosamente JavaScript que redirigió a los usuarios a un drainer de billetera llamado “Impersonator”, una interfaz engañosa para hacer que autorizaran transferencias de tokens.
El ataque no fue inmediatamente evidente para todos los usuarios porque el sitio rotaba doodles aleatoriamente por visita. Sin embargo, visitar el endpoint /doodles/ aparentemente activó el drainer de billetera en cada ocasión. Investigadores de blockchain identificaron una dirección maliciosa conocida que recibía aprobaciones de tokens: 0x000025b5ab50f8d9f987feb52eee7479e34a0000.
🚨 CoinMarketCap ha sido hackeado 🚨
POV: estás siendo drenado (no intentes esto en casa) 👇 pic.twitter.com/cgQhmFkATO
— apoorv.eth (@apoorveth) 20 de junio de 2025
Los expertos en seguridad creen que el ataque pudo haber explotado una vulnerabilidad en el motor de animación utilizado para renderizar los doodles, probablemente Lottie o una herramienta similar, permitiendo la ejecución arbitraria de JavaScript a través de la configuración JSON.
Según analistas de Coinspect, los atacantes parecían tener acceso al backend y establecieron un tiempo de expiración en la explotación, lo que podría haber sido planeado con antelación.
CoinMarketCap emitió un comunicado público sobre la brecha a través de su cuenta oficial de X, diciendo: “Hemos identificado y removido el código malicioso de nuestro sitio. Nuestro equipo está continuando la investigación y tomando medidas para fortalecer nuestra seguridad.”
La compañía agregó que el pop-up afectado ha sido removido y los sistemas están completamente restaurados.
Aunque el ataque solo apuntó a la interfaz del front-end, los profesionales de seguridad están instando a los inversores a ser cautelosos con el acceso a sus billeteras. CoinMarketCap es una plataforma que muchos traders e inversores de cripto visitan cada minuto.
“La escala de esta estafa podría ser enorme, parece totalmente legítima, sin señales de advertencia obvias,” opinó un trader en las redes sociales. “Solo estás visitando un sitio que revisas a diario. Cuídate allá afuera.”
Los expertos también creen que los usuarios que conectaron sus billeteras o aprobaron transacciones durante la ventana de la brecha pueden haber sido comprometidos. Como precaución, a aquellos que cayeron en las solicitudes maliciosas se les aconseja revocar cualquier aprobación reciente de tokens y evitar interactuar con pop-ups similares en plataformas relacionadas con cripto.
Como informó Cryptopolitan el jueves, una de las mayores brechas de datos conocidas en la historia de internet también tuvo lugar esta semana. Se filtraron supuestamente más de 16 mil millones de nombres de usuario y contraseñas.
BitoPro confirma el robo de $11M en cripto por parte del Grupo Lazarus
En otras noticias relacionadas, el intercambio de criptomonedas taiwanés BitoPro confirmó una brecha que resultó en el robo de aproximadamente $11 millones en activos digitales. La compañía vinculó el ataque al grupo de hackers respaldado por el estado norcoreano Lazarus.
Según un hilo en X publicado el 19 de junio, citó similitudes con incidentes anteriores que involucraban transferencias internacionales ilícitas de fondos y acceso no autorizado a intercambios de cripto.
La brecha ocurrió el 8 de mayo de 2025, durante una actualización rutinaria del sistema de billetera caliente. Los atacantes explotaron un dispositivo de un empleado para eludir la autenticación multifactor utilizando tokens de sesión de AWS robados. Malware implantado a través de un ataque de ingeniería social permitió a los hackers ejecutar comandos, inyectar scripts en el sistema de billetera y simular actividad legítima mientras drenaban fondos.
Los activos fueron drenados a través de múltiples blockchains, incluyendo Ethereum, Solana, Polygon y Tron, y lavados a través de intercambios descentralizados y mezcladores como Tornado Cash, Wasabi Wallet y ThorChain.
Academia Cryptopolitan: ¿Cansado de las oscilaciones del mercado? Aprende cómo DeFi puede ayudarte a construir un ingreso pasivo constante. Regístrate ahora
