A CoinMarketCap, a plataforma de dados do mercado de criptomoedas com mais de 340 milhões de visitas mensais, enfrentou uma violação na interface frontal mais cedo hoje.
A violação envolveu a injeção de código JavaScript malicioso na função de “Doodles” rotativa do site, pedindo aos usuários para “verificar a carteira”, um pop-up destinado a roubar seus fundos.
De acordo com um analista on-chain que usa o pseudônimo okHOTSHOT no X, o código malicioso foi entregue através de arquivos JSON manipulados servidos via a própria API de backend da CoinMarketCap.
Os dados foram usados para carregar “doodles” animados na página inicial. Quando um doodle intitulado “CoinmarketCLAP” foi carregado, ele executou silenciosamente JavaScript que redirecionou os usuários para um dreno de carteira chamado “Impersonator”, uma interface enganosa para enganá-los a autorizar transferências de token.
O ataque não foi imediatamente aparente para todos os usuários porque o site rotacionava os doodles aleatoriamente a cada visita. Ainda assim, visitar o endpoint /doodles/ supostamente acionou o dreno de carteira em todas as ocasiões. Investigadores de blockchain identificaram um endereço malicioso conhecido recebendo aprovações de token: 0x000025b5ab50f8d9f987feb52eee7479e34a0000.
🚨 CoinMarketCap foi hackeado 🚨
Ponto de Vista: você está sendo drenado (não tente isso em casa) 👇 pic.twitter.com/cgQhmFkATO
— apoorv.eth (@apoorveth) 20 de junho de 2025
Especialistas em segurança acreditam que o ataque pode ter explorado uma vulnerabilidade no motor de animação usado para renderizar os doodles, provavelmente Lottie ou uma ferramenta semelhante, permitindo a execução arbitrária de JavaScript através da configuração JSON.
De acordo com analistas da Coinspect, os atacantes aparentavam ter acesso ao backend e definiram um tempo de expiração para a exploração, o que poderia ter sido planejado com antecedência.
A CoinMarketCap deu uma declaração pública sobre a violação através de sua conta oficial no X, dizendo: “Identificamos e removemos o código malicioso do nosso site. Nossa equipe está continuando a investigar e tomando medidas para fortalecer nossa segurança.”
A empresa acrescentou que o pop-up afetado foi removido e os sistemas estão totalmente restaurados.
Embora o ataque tenha visado apenas a interface frontal, profissionais de segurança estão implorando aos investidores para terem cautela ao acessar suas carteiras. A CoinMarketCap é uma plataforma que muitos traders e investidores de cripto visitam a cada minuto.
“A escala deste golpe pode ser enorme, parece totalmente legítimo, sem sinais óbvios de alerta”, avaliou um trader nas redes sociais. “Você está apenas visitando um site que verifica diariamente. Cuidado por aí.”
Especialistas também acreditam que usuários que conectaram suas carteiras ou aprovaram transações durante a janela de violação podem já ter sido comprometidos. Como precaução, aqueles que caíram nas solicitações maliciosas são aconselhados a revogar quaisquer aprovações de token recentes e evitar interagir com pop-ups semelhantes em plataformas relacionadas a cripto.
Conforme relatado pela Cryptopolitan na quinta-feira, uma das maiores violações de dados conhecidas na história da internet também ocorreu esta semana. Mais de 16 bilhões de nomes de usuário e senhas supostamente foram vazados.
BitoPro confirma roubo de $11M em cripto pelo grupo Lazarus
Em outras notícias relacionadas, a exchange de criptomoedas taiwanesa BitoPro confirmou uma violação resultando no roubo de aproximadamente $11 milhões em ativos digitais. A empresa vinculou o ataque ao grupo de hackers apoiado pelo estado norte-coreano, Lazarus.
De acordo com um tópico no X publicado em 19 de junho, citou semelhanças com incidentes anteriores envolvendo transferências internacionais ilícitas de fundos e acesso não autorizado a exchanges de cripto.
A violação ocorreu em 8 de maio de 2025, durante uma atualização rotineira do sistema de hot wallet. Os atacantes exploraram um dispositivo de funcionário para contornar a autenticação de múltiplos fatores usando tokens de sessão AWS roubados. Malware implantado via ataque de engenharia social permitiu que os hackers executassem comandos, injetassem scripts no sistema de carteira e simulassem atividade legítima enquanto siphonavam fundos.
Os ativos foram drenados em várias blockchains, incluindo Ethereum, Solana, Polygon e Tron, e lavados através de exchanges descentralizadas e mixers como Tornado Cash, Wasabi Wallet e ThorChain.
Academia Cryptopolitan: Cansado das oscilações de mercado? Aprenda como o DeFi pode ajudá-lo a construir uma renda passiva estável. Registre-se agora
