Technologies
Partager cet article

CoinMarketCap brièvement exploité avec un message contextuel de phishing de portefeuille

La société n'a pas communiqué le nombre d'utilisateurs concernés ni précisé si des portefeuilles avaient été compromis à la suite de cette faille.

Par Francisco Rodrigues|Édité par Aoyon Ashraf
21 juin 2025, 3:28 p.m. Traduit par IA
CoinMarketCap logo on an iphone (appshunter.io/Unsplash)
(appshunter.io/Unsplash)

Ce qu'il:

  • Des hackers ont exploité une vulnérabilité dans le système frontal de CoinMarketCap en utilisant une image doodle pour injecter un code malveillant.
  • Le code a déclenché de fausses fenêtres contextuelles de vérification de portefeuille sur l'ensemble du site, incitant les utilisateurs à \"Vérifier le portefeuille\" dans une tactique de phishing visant à accéder à leurs avoirs en crypto.
  • L’équipe de CoinMarketCap a supprimé la fenêtre contextuelle peu de temps après sa découverte et a mis en place des mesures pour isoler et atténuer le problème.

Des hackers ont exploité une vulnérabilité dans le système front-end de CoinMarketCap, utilisant une image de griffonnage apparemment anodine pour injecter un code malveillant qui a déclenché des pop-ups de vérification de portefeuille factices sur l’ensemble du site.

La faille, confirmée par CoinMarketCap, a utilisé son API backend pour livrer une charge JSON manipulée qui a injecté du JavaScript dans la page d’accueil selon la société de sécurité blockchain Coinspect Security.

La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter The Protocol aujourd. Voir toutes les newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms & conditions and politique de confidentialité.

Le 20 juin 2025, notre équipe de sécurité a identifié une vulnérabilité liée à une image de griffonnage affichée sur notre page d’accueil. Cette image de griffonnage contenait un lien qui a déclenché un code malicieux via un appel API, provoquant un pop-up inattendu pour certains utilisateurs visitant notre page d’accueil.…

— CoinMarketCap (@CoinMarketCap) 21 juin 2025

Le script a provoqué une invite non autorisée demandant aux utilisateurs de « Vérifier le portefeuille », une tactique de phishing visant à tromper les visiteurs pour qu’ils remettent l’accès à leurs avoirs crypto.

La société de sécurité blockchain a retracé l’attaque à la fonctionnalité rotative de “griffonnages” de la plateforme, qui a permis aux attaquants d’intégrer le code malveillant sans altérer l’infrastructure principale du site.

Le pop-up est resté actif pendant une courte période avant d’être retiré par l’équipe de CoinMarketCap.

« Dès la découverte, nous avons agi immédiatement pour retirer le contenu problématique », a déclaré CoinMarketCap dans un communiqué publié sur les réseaux sociaux. « Des mesures complètes ont été mises en place pour isoler et atténuer le problème. »

CoinMarketCap n’a pas divulgué le nombre d’utilisateurs ayant rencontré le pop-up ni indiqué si des portefeuilles avaient été compromis.

CoinMarketCapSecurity