最も訪問されている暗号通貨追跡サイトの一つであるCoinMarketCapに対する最近のサイバー攻撃により、ユーザーは一時的に偽のWeb3ウォレットプロンプトにさらされ、接続されたウォレットから資金が盗まれました。この侵害は6月20日金曜日の夜に発見され、その後封じ込められました。
サイトの訪問者には、標準的なWeb3接続要求を模倣したポップアップが表示され、暗号ウォレットをリンクするよう促されました。
一度接続されると、プロンプトはウォレットを空にするスクリプトをトリガーし、ユーザーのアカウントから資産を転送しました。脆弱性の原因は、改ざんされたAPIコールを通じて侵害されたホームページの「落書き」画像にまで遡ることができました。
CoinMarketCapは、攻撃者が落書き画像にリンクされた修正されたJSONペイロードを介して悪意のあるJavaScriptを注入したことを説明する声明をX(旧Twitter)に投稿して侵害を確認しました。ペイロードは外部ソースであるstatic.cdnkit[.]ioからスクリプトを読み込み、ポップアップを表示し、ウォレットを空にするコードを実行しました。
「発見後、問題のあるコンテンツを直ちに削除し、根本原因を特定し、問題を隔離し軽減するための包括的な対策を実施しました」と会社は述べました。
「すべてのシステムは現在完全に稼働しています。」
暗号エコシステムにおけるウォレットドレイナーの脅威の増加についてさらに読む: 詐欺師が1年で暗号ウォレットから5億ドルを排出
侵害を分析したサイバーセキュリティ企業c/sideは、この事件をサプライチェーン攻撃と説明しました。攻撃者はCoinMarketCapのサーバーに直接侵入したのではなく、プラットフォームが使用するサードパーティのリソースを侵害しました。
これらのタイプの攻撃は、サイトのインフラストラクチャの信頼された部分を悪用するため、検出が困難です。
Reyとして知られる脅威アクターが後に攻撃者のダッシュボードのスクリーンショットをXとTelegramで共有し、110のウォレットが影響を受け、合計43,266ドルが盗まれたことを明らかにしました。チャンネル内のメッセージは、攻撃者がフランス語で通信していたことを示しています。
ポップアップに応じて、ウォレットプロバイダーのMetaMaskとPhantomはCoinMarketCapを安全でないとフラグ付けしました。Phantomはブラウザ内警告を発行し、ユーザーにウォレットを接続しないよう促しました。
フィッシングスタイルのプロンプトは、特に多くの暗号ウォレットで使用される一般的な形式であるERC-20トークンをターゲットにしました。暗号フォーラムのいくつかのユーザーは迅速に警告を共有し、侵害の範囲を制限するのに役立ちました。
この事件は、CoinMarketCapのセキュリティ体制に対する懸念を再燃させました。2021年には、プラットフォームが侵害され、310万のメールアドレスが露出した後、批判を受けました。Binanceが所有するCoinMarketCapは、暗号空間における重要なハブであり、攻撃者にとって魅力的なターゲットとなっています。
画像クレジット: Iryna Budanova / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/web3-wallet-prompt-steals-43000/