流行的加密货币价格跟踪网站CoinMarketCap遭受了网站供应链攻击，导致用户钱包被榨取。攻击者利用主页图像漏洞注入恶意脚本，通过假钱包连接弹出窗口窃取加密货币。网络安全公司c/side指出，这是一次供应链攻击，攻击目标为第三方工具。随着加密货币普及，钱包榨取攻击日益增多，2024年已通过攻击30万个钱包地址窃取近5亿美元。

🔍攻击者利用CoinMarketCap主页“doodle”图像漏洞，注入恶意JavaScript脚本，通过API调用触发恶意代码，导致用户钱包被榨取。

🛡️网络安全公司c/side解释，这是一次供应链攻击，攻击目标为CoinMarketCap使用的第三方工具或资源，这种攻击难以被发现。

💰攻击者通过假钱包连接弹出窗口，模仿合法Web3交易请求，实际上执行钱包耗尽脚本，导致110名受害者损失43266美元。

📈随着加密货币普及，钱包榨取攻击日益增多，2024年已通过攻击30万个钱包地址窃取近5亿美元，主要通过社交媒体、欺骗网站和恶意浏览器扩展传播。

🚨钱包榨取攻击与传统网络钓鱼不同，通常通过多种渠道推广，威胁加密货币用户资产安全。

最近，流行的加密货币价格跟踪网站CoinMarketCap遭受了网站供应链攻击，使网站访客暴露在钱包榨取活动下，以窃取访客的加密货币。

1月，CoinMarketCap的访问者开始看到Web3弹出窗口，要求他们将钱包连接到该网站。然而，当访问者连接他们的钱包时，一个恶意脚本会从他们的钱包中抽取加密货币。

该公司后来证实，攻击者利用该网站主页“doodle”图像中的一个漏洞，将恶意JavaScript注入该网站。该链接通过API调用触发恶意代码，导致一些用户在访问主页时意外弹出。

网络安全公司c/side解释说，攻击者以某种方式修改了网站使用的API，以检索在主页上显示的涂鸦图像。这个被篡改的JSON有效负载现在包括一个恶意脚本标签，它从一个名为“static.cdnkit[.]io”的外部站点向CoinMarketCap注入了一个钱包耗尽脚本。

当有人访问该页面时，该脚本将执行并显示一个假的钱包连接弹出窗口，显示CoinMarketCap品牌并模仿合法的Web3交易请求。然而，这个脚本实际上是一个钱包耗尽器，旨在窃取连接钱包的资产。

c/side解释说：“这是一次供应链攻击，这意味着攻击目标不是CMC自己的服务器，而是CMC使用的第三方工具或资源。这种攻击很难被发现，因为它们利用了平台上受信任的元素。”

关于这次攻击的更多细节后来来自一个名叫Rey的黑客，他说CoinMarketCap供应链攻击背后的攻击者在Telegram频道上分享了一个排水面板的截图。

该小组指出，作为供应链攻击的一部分，110名受害者的43266美元被盗，威胁者在Telegram频道上用法语阐述了此事件。

在Telegram上分享的面板截图

随着加密货币的普及，攻击中常用的钱包榨取器的威胁也相应增加。与传统的网络钓鱼不同，这些类型的攻击通常通过社交媒体帖子、广告、欺骗网站和包含恶意钱包耗尽脚本的恶意浏览器扩展来推广。报告显示，钱包窃取者在2024年通过攻击超过30万个钱包地址窃取了近5亿美元，这个问题已经变得如此普遍。

参考及来源：https://www.bleepingcomputer.com/news/security/coinmarketcap-briefly-hacked-to-drain-crypto-wallets-via-fake-web3-popup/