最も閲覧されている暗号資産トラッキングサイトの一つであるCoinMarketCapに対する最近のサイバー攻撃により、ユーザーは一時的に偽のWeb3ウォレット接続プロンプトにさらされ、接続されたウォレットから資金が盗まれました。この侵害は6月20日(金)夜に発見され、その後封じ込められています。
サイト訪問者には、標準的なWeb3接続リクエストを模倣したポップアップが表示され、暗号資産ウォレットをリンクするよう促されました。
接続すると、そのプロンプトがウォレットを枯渇させるスクリプトを起動し、ユーザーの アカウントから資産を移転しました。脆弱性の原因は、改ざんされたAPI呼び出しを通じて侵害されたホームページの「doodle」 画像にまで遡って特定されました。
CoinMarketCapは、X(旧Twitter)に投稿した声明で侵害を確認し、攻撃者がdoodle画像に紐づく改変済みJSONペイロードを介して悪意のあるJavaScriptを注入したと説明しました。このペイロードは外部ソースであるstatic.cdnkit[.]ioからスクリプトを読み込み、ポップアップを表示してウォレット枯渇コードを実行しました。
同社は「発見次第、問題のあるコンテンツを直ちに削除し、根本原因を特定し、問題を隔離して軽減するための包括的な対策を実施しました」と述べました。
「現在、すべてのシステムは完全に稼働しています。」
暗号資産エコシステムにおけるウォレットドレイナー脅威の増加について詳しく読む:詐欺師が1年で暗号資産ウォレットから5億ドルを吸い上げる
侵害を分析したサイバーセキュリティ企業c/sideは、この事件をサプライチェーン攻撃だと説明しました。攻撃者はCoinMarketCapのサーバーに直接侵入したのではなく、同プラットフォームが使用しているサードパーティのリソースを侵害したと指摘しています。
この種の攻撃は、サイトのインフラにおける信頼された部分を悪用するため、検知が困難です。
その後、Reyとして知られる脅威アクターが、XとTelegramで攻撃者のダッシュボードのスクリーンショットを共有し、110のウォレットが影響を受け、合計43,266ドルが盗まれたことが明らかになりました。チャンネル内のメッセージから、攻撃者がフランス語でやり取りしていたことが示されました。
このポップアップへの対応として、ウォレットプロバイダーのMetaMaskとPhantomはCoinMarketCapを安全ではないとフラグ付けしました。Phantomはブラウザ内警告まで発し、ウォレットを接続しないようユーザーに促しました。
フィッシング風のこのプロンプトは、特にERC-20トークンを標的にしていました。これは多くの暗号資産ウォレットで使われている一般的な形式です。暗号資産フォーラムの複数のユーザーがすぐに警告を共有し、侵害の範囲を限定するのに役立ちました。
この事件は、CoinMarketCapのセキュリティ体制に対する懸念を再燃させました。2021年には、侵害により310万件のメールアドレスが流出したとして、同プラットフォームは批判にさらされました。Binance傘下のCoinMarketCapは暗号資産分野における重要なハブであり続けており、攻撃者にとって魅力的な標的となっています。
画像 クレジット:Iryna Budanova / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/web3-wallet-prompt-steals-43000/
