Ibahagi ang artikulong ito
Ang CoinMarketCap ay panandaliang pinagsamantalahan ng Wallet Phishing Pop-Up na Mensahe
Ang kumpanya ay hindi isiniwalat kung gaano karaming mga gumagamit ang naapektuhan o kung ang anumang mga wallet ay nakompromiso bilang resulta ng pagsasamantala.
Hun 21, 2025, 3:28 p.m. Isinalin ng AI
Gawin kaming preferred sa Google
Ano ang dapat malaman:
- Sinamantala ng mga hacker ang isang kahinaan sa front-end system ng CoinMarketCap sa pamamagitan ng paggamit ng isang doodle na imahe upang mag-inject ng malisyosong code.
- Nag-trigger ang code ng mga pekeng pop-up sa pag-verify ng wallet sa buong site, na nagtuturo sa mga user na "I-verify ang Wallet" sa isang taktika sa phishing upang makakuha ng access sa kanilang mga Crypto holdings.
- Inalis ng koponan ng CoinMarketCap ang pop-up sa ilang sandali matapos ang Discovery at nagpatupad ng mga hakbang upang ihiwalay at pagaanin ang isyu.
Sinamantala ng mga hacker ang isang kahinaan sa front-end system ng CoinMarketCap, gamit ang isang tila hindi nakakapinsalang doodle na imahe upang mag-iniksyon ng malisyosong code na nag-trigger ng mga pop-up sa pag-verify ng pekeng wallet sa buong site.
Ang paglabag, na kinumpirma ng CoinMarketCap, ay ginamit ang backend API nito upang maghatid ng manipuladong JSON payload na nag-embed ng JavaScript sa homepage ayon sa blockchain security firm Coinspect Security.
Ipagpatuloy Ang Kwento Sa Baba
On June 20, 2025, our security team identified a vulnerability related to a doodle image displayed on our homepage. This doodle image contained a link that triggered malicious code through an API call, resulting in an unexpected pop-up for some users when visited our homepage.…
— CoinMarketCap (@CoinMarketCap) June 21, 2025
Nagdulot ang script ng hindi awtorisadong prompt na nagtuturo sa mga user na “I-verify ang Wallet,” isang taktika sa phishing na naglalayong linlangin ang mga bisita na ibigay ang access sa kanilang mga Crypto holdings.
Ang blockchain security firm natunton ang pag-atake sa umiikot na feature na "mga doodle" ng platform, na nagpapahintulot sa mga umaatake na i-embed ang malisyosong code nang hindi binabago ang CORE imprastraktura ng site.
Ang pop-up ay live sa loob ng maikling panahon bago inalis ng koponan ng CoinMarketCap.
"Sa Discovery, agad kaming kumilos upang alisin ang may problemang nilalaman," sabi ng CoinMarketCap sa isang pahayag na nai-post sa social media. "Ang mga komprehensibong hakbang ay ipinatupad upang ihiwalay at pagaanin ang isyu."
Hindi isiniwalat ng CoinMarketCap kung gaano karaming mga user ang nakatagpo ng pop-up o kung nakompromiso ang anumang mga wallet.
