Tin tặc tấn công chuỗi cung ứng CoinMarketCap để rút ví tiền điện tử

“Vào ngày 20/6/2025, nhóm bảo mật của chúng tôi đã xác định được lỗ hổng liên quan đến hình ảnh doodle hiển thị trên trang chủ. Hình ảnh doodle này chứa một liên kết kích hoạt mã độc hại thông qua lệnh gọi API, dẫn đến cửa sổ popup bất ngờ cho một số người dùng khi truy cập trang web”, thông báo mới nhất của CoinMarketCap.

Sau khi phát hiện sự cố này, CoinMarketCap đã hành động ngay lập tức để xóa nội dung có vấn đề, xác định nguyên nhân gốc rễ, cũng như triển khai các biện pháp toàn diện để cô lập và giảm thiểu sự cố.

Công ty an ninh mạng c/side (Mỹ) giải thích rằng, cuộc tấn công này được thực hiện khi các tin tặc bằng cách nào đó đã sửa đổi API mà trang web sử dụng, từ đó lấy hình ảnh doodle để hiển thị trên trang chủ. Payload JSON bị giả mạo bao gồm một thẻ script độc hại, nó đã chèn một script rút ví tiền vào CoinMarketCap từ một trang web bên ngoài có tên là “static[.]cdnkit[.]io”.

Khi người dùng truy cập trang web, script sẽ thực thi và hiển thị một cửa sổ popup kết nối ví giả mạo hiển thị thương hiệu CoinMarketCap, cũng như mạo danh yêu cầu giao dịch Web3 hợp pháp. Tuy nhiên, script này thực chất là một trình rút tiền ví điện tử được thiết kế để đánh cắp tài sản của ví được kết nối.

“Đây là một cuộc tấn công chuỗi cung ứng, nghĩa là vụ vi phạm không tập trung vào máy chủ của CoinMarketCap mà nhắm vào các công cụ hoặc tài nguyên của bên thứ ba được CoinMarketCap sử dụng. Những cuộc tấn công như vậy rất khó phát hiện vì chúng khai thác các yếu tố đáng tin cậy của nền tảng”, c/side giải thích.

Sau đó, một tin tặc có tên “Rey” đã tiết lộ thêm thông tin chi tiết về cuộc tấn công. Rey cho biết các tin tặc phía sau cuộc tấn công CoinMarketCap đã chia sẻ ảnh chụp màn hình bảng điều khiển rút tiền trên kênh Telegram. Ảnh chụp này cho thấy 43.266 USD đã bị đánh cắp từ 110 nạn nhân trong cuộc tấn công chuỗi cung ứng này.