知名加密货币价格追踪网站CoinMarketCap近日遭遇网站供应链攻击,导致访问者的加密钱包被窃取。据报道,攻击者利用网站主页展示的“涂鸦”图片中的漏洞,注入了恶意JavaScript代码。
当用户访问主页时,他们会看到要求连接钱包的假Web3弹窗。当用户连接钱包后,恶意脚本会窃取加密货币。CoinMarketCap确认这一漏洞,并表示已采取措施解决问题,目前系统已恢复正常。
网络安全公司c/side指出,此次攻击是典型的供应链攻击,并非直接针对CoinMarketCap的服务器,而是利用了一个第三方资源。攻击者通过篡改用于获取主页涂鸦图片的API,插入了恶意脚本,诱导用户进行虚假交易。
此次攻击中,约有110名受害者损失了价值43,266美元的加密货币。攻击者在Telegram频道上分享了窃取面板的截图,进一步展示了攻击的细节。