CoinMarketCap hackeado

[sabotag3x]

Não interajam com o CoinMarketCap, aparentemente foi hackeado.. ao tentar acessar ele começa a abrir carteiras de navegador (Phantom, etc)


Fonte: https://x.com/CoinMarketCap/status/1936197663931933117

[TryNinja]

Atualizações:

Update: We've identified and removed the malicious code from our site.

Our team is continuing to investigate and taking steps to strengthen our security.

E logo agora:

On June 20, 2025, our security team identified a vulnerability related to a doodle image displayed on our homepage. This doodle image contained a link that triggered malicious code through an API call, resulting in an unexpected pop-up for some users when visited our homepage.

Upon discovery, We acted immediately to remove the problematic content, identified the root cause, and comprehensive measures have been implemented to isolate and mitigate the issue.

We can confirm all systems are now fully operational, and CoinMarketCap is safe and secure for all users.

We're actively monitoring user feedback and our support team is standing by to ensure all inquiries are promptly addressed. We are committed to maintaining the highest standards of security and transparency, and we thank you for the continued trust of our community.

Uma imagem inserida na página ativava um link malicioso, através de uma API, resultando em um pop-up para alguns usuários. Parece ser uma vulnerabilidade XSS (Cross Site Scripting)?

Será que alguem caiu nisso? Fueda é que você acessa o CoinMarketCap prara ver o preço de uma moeda e sai aparecendo pop-up da sua carteira, por que aceitaria as solicitações?

[mikel_012]

Não passei por esse problema por que uso coingecko ao inves do coin market cap

Tentei acessar e a extensão da phantom wallet está bloqueando por motivo de phishing, acho que colocaram na lista de bloqueios temporariamente enquanto estavam sob ataque

Vi fotos nos grupos de telegram em que aparecia uma mensagem para verificar a wallet conectando ela antes de usar o site

[joker_josue]

Uma imagem inserida na página ativava um link malicioso, através de uma API, resultando em um pop-up para alguns usuários. Parece ser uma vulnerabilidade XSS (Cross Site Scripting)?

Será que alguem caiu nisso? Fueda é que você acessa o CoinMarketCap prara ver o preço de uma moeda e sai aparecendo pop-up da sua carteira, por que aceitaria as solicitações?

Estranho... A menos que o hacker tenha conseguido aceder ao servidor e alterado o link do "doodle image" isso seria possível. Porque, na pagina principal, apenas tem imagens colocadas pela CoinMarketCap, não aparece imagens de comentários, feeds e coisas do gênero.

Se o hacker conseguiu entrar no servidor, o problema pode ser maior do que apenas um link.

Bem, eu não sou especialista, mas o problema não deverá ser só um link...

[mikel_012]

Estranho... A menos que o hacker tenha conseguido aceder ao servidor e alterado o link do "doodle image" isso seria possível. Porque, na pagina principal, apenas tem imagens colocadas pela CoinMarketCap, não aparece imagens de comentários, feeds e coisas do gênero.

Se o hacker conseguiu entrar no servidor, o problema pode ser maior do que apenas um link.

Bem, eu não sou especialista, mas o problema não deverá ser só um link...

Me enviaram esse link em um grupo que participo

⚠️JavaScript Injection via Lottie JSON
We successfully reproduced a JavaScript injection vulnerability that exploits Lottie animation JSON files.
The "CoinMarketClap doodle" incident demonstrates this attack vector.

Fonte: https://x.com/coinspect/status/1936231159320453579/photo/1

Devem ter conseguido inserir esse código dentro da animação da imagem do logo do coin market cap. Ou algum projeto conseguiu inserir isso em uma imagem e que apareceu na pagina inicial de alguma forma

[joker_josue]

Devem ter conseguido inserir esse código dentro da animação da imagem do logo do coin market cap. Ou algum projeto conseguiu inserir isso em uma imagem e que apareceu na pagina inicial de alguma forma

Para inserir esse código, tem de ter acesso aos ficheiros do site/servidor. Logo o problema será maior do que simples código.

Não sendo um espaço de formulário, não sendo um espaço de comentários, ou outro qualquer campo onde o utilizador insere dadas, é preciso ter acesso aos servidores para inserir o código.

Por isso, ou foi alguém interno que adicionou esse código (talvez até para algum teste e lanço por lapso para produção), ou foi um hacker que tem acesso ao servidor (que torna tudo muito mais grave).

[TryNinja]

Me enviaram esse link em um grupo que participo

⚠️JavaScript Injection via Lottie JSON
We successfully reproduced a JavaScript injection vulnerability that exploits Lottie animation JSON files.
The "CoinMarketClap doodle" incident demonstrates this attack vector.

https://pbs.twimg.com/media/Gt7e6mDXIAAaGpg?format=jpg&name=large

Fonte: https://x.com/coinspect/status/1936231159320453579/photo/1

Devem ter conseguido inserir esse código dentro da animação da imagem do logo do coin market cap. Ou algum projeto conseguiu inserir isso em uma imagem e que apareceu na pagina inicial de alguma forma

Fui mais a fundo e encontrei a vulnerabilidade, reportada ainda em 2022.

https://github.com/airbnb/lottie-web/issues/2828

What did you do? Please explain the steps you took before you encountered the problem.
I created a lottie file with an expression inside of it. I edited the expression to contain the following code, to expose an XSS vulnerability within lottie-web:

Code:

}]; alert(\"Arbitrary evil XSS code.\");[function _expression_function(){

Dá pra executar qualquer javascript, extremamente perigoso. Quando programo meus sites eu sempre fico super atento a isso, já aconteceu até de um usuário testar/tentar um XSS no ninjastic.space, só que claro que estava previamente prevenido.

A questão agora é como eles conseguiram inserir esse código na imagem, igual o @joker_josue falou. Provavelmente algum servidor de imagens foi invadido e eles conseguiram alterar?

[joker_josue]

A questão agora é como eles conseguiram inserir esse código na imagem, igual o @joker_josue falou. Provavelmente algum servidor de imagens foi invadido e eles conseguiram alterar?

Só se o link da imagem fosse um sub redirecionamento e por sua vez o destino foi redirecionado.
Acho que não foi isso.

Talvez eles usaram javascript para esconder o link da imagem original ou para reconstruir a imagem em SVG, e essa javascript não estava corretamente protegido, fazendo que em qualquer pagina do site que tivesse um formulário, fosso possível injetar código nele.

Mas, lá está... não sou especialista, apenas analisar a situação.

Dá pra executar qualquer javascript, extremamente perigoso. Quando programo meus sites eu sempre fico super atento a isso, já aconteceu até de um usuário testar/tentar um XSS no ninjastic.space, só que claro que estava previamente prevenido.

Ele tentou fazer isso por que via? O formulário de pesquisa? Como ele injetava o XSS no teu site?

[TryNinja]

Ele tentou fazer isso por que via? O formulário de pesquisa? Como ele injetava o XSS no teu site?

Olha esse seu post no meu site:

https://ninjastic.space/post/65509980
https://beta.ninjastic.space/post/65509980

Ele renderiza o conteudo que você escreveu, certo?

O que acontece se você bota um javascript malicioso tipo <script>alert("XSS")</script> no meio do post? Um site mal pensado poderia renderizar esse pedaço de texto como HTML e executar o javascript.

No meu caso eu trato todo o texto dos posts como inseguro e faço o escaping dos caracteres (nesse caso seria o < e />). Sem risco de XSS.

[sabotag3x]

Estranho... A menos que o hacker tenha conseguido aceder ao servidor e alterado o link do "doodle image" isso seria possível. Porque, na pagina principal, apenas tem imagens colocadas pela CoinMarketCap, não aparece imagens de comentários, feeds e coisas do gênero.

Se o hacker conseguiu entrar no servidor, o problema pode ser maior do que apenas um link.

Bem, eu não sou especialista, mas o problema não deverá ser só um link...

Pelo que entendi a falha não estava na imagem, mas sim num script externo (cdnkit[.]io) que permitia a rotação das imagens..

Aqui tem a coleção de doodles deles: https://coinmarketcap.com/doodles/


Aqui tem uma explicação bem detalhada: https://cside.dev/blog/coinmarketcap-client-side-attack-a-comprehensive-analysis

[TryNinja]

Aqui tem uma explicação bem detalhada: https://cside.dev/blog/coinmarketcap-client-side-attack-a-comprehensive-analysis

Valeu, gosto de ler esses relatorios post mortem.

Então a CoinMarketCap usava esse CDNKIT para distribuir os arquivos de cada doodle, quando era preciso mostrar um. Um atacante, de alguma forma, conseguiu acessar os servidores desse terceiro e fez a modificação para injectar o javascript na página inicial do CMC.

Interessante que os atacantes compartilharam m print mostrando que conseguiram $43k nesse ataque:



Muito perigoso esses ataques de supply chain (onde a porta de entrada para o ataque está em um produto/serviço/biblioteca terceira que o serviço atacado usa). Não é a primeira vez que algo assim acontece.

[joker_josue]

O que acontece se você bota um javascript malicioso tipo <script>alert("XSS")</script> no meio do post? Um site mal pensado poderia renderizar esse pedaço de texto como HTML e executar o javascript.

No meu caso eu trato todo o texto dos posts como inseguro e faço o escaping dos caracteres (nesse caso seria o < e />). Sem risco de XSS.

Exato, é no post que tentam inserir o código, que o site pode depois ler e gerar o problema.

É bom olhar sempre para os posts como uma porta de entrada de problemas, porque na realidade são, vão ser lidos e guardados na sua base de dados.

Então a CoinMarketCap usava esse CDNKIT para distribuir os arquivos de cada doodle, quando era preciso mostrar um. Um atacante, de alguma forma, conseguiu acessar os servidores desse terceiro e fez a modificação para injectar o javascript na página inicial do CMC.

Mas que serviços é esse cdnkit[.]io? O site nem esta a funcionar e não encontro nenhuma informação histórica sobre esse serviço.

Será que era um serviço de terceiros ou da própria CoinMarketCap?
Sinceramente, começo achar esta historia um pouco estranha, e um passar as culpas para terceiros.

Não coloco em causa o perigo do problema, nem como ele pode realmente ter acontecido. Mas, acho estranho as informações que chegam.

Alias, não quis deixar de investigar um pouco mais antes de fechar o post...

O domínio cdnkit[.]io foi registado no dia 20/06/2023: https://www.whois.com/whois/cdnkit.io
Isso foi no dia do ataque ou um dia antes do ataque. Pergunta:
Como é que a CoinMarketCap usava este "serviço" para distribuir o doodle, se ele não exisita? 

[alegotardo]

Pelo que entendi a falha não estava na imagem, mas sim num script externo (cdnkit[.]io) que permitia a rotação das imagens..

Aqui tem a coleção de doodles deles: https://coinmarketcap.com/doodles/


Aqui tem uma explicação bem detalhada: https://cside.dev/blog/coinmarketcap-client-side-attack-a-comprehensive-analysis

É nessas ferramentas externas que mora o perigo.
Como o @TryNinja bem falou que toma o máximo de cuidado possível para se prevenir em toda entrada dinâmica de contaúdo, mas duvido que ele consegue olhar todos os plugins que utiliza.
Até mesmo o que é open-source... volta e meia vai aparecer algum com alguma vulnerabilidade, que foi atacada antes de uma correção, e todos os sites que o utilizam ficam à mercê de um ataque... pois o DEV não vai olhar o código daquele plugin, ele apenas busca os mais "sólidos" e acredita que ele seja confiável.

O mesmo então aconteceu nesse caso aí do coinmarketcap.... eu não vi nada técnico, mas com base no relato do @sabotag3x parece então que eles usaram um recurso externo que foi comprometido, certo?

Enfim... é muita treta. E por isos que eu disse em outro post mais cedo... não importa o  quão expert tu seja, a bandidagem sempre estará um passo à frente.

[sabotag3x]

não importa o  quão expert tu seja, a bandidagem sempre estará um passo à frente.

O problema é que eles precisam de uma única chance.. CMC deve estar ai há mais de 10 anos sem nenhuma vulnerabilidade, mas basta uma pequena brecha momentânea que tudo desaba.. imagina o quanto essas corretoras e sites não são testados diariamente pelos melhores hackers do mundo (ninguém fala sobre todas as vezes que evitaram algo )

Deve ser estressante trabalhar na área de segurança.

[TryNinja]

Mas que serviços é esse cdnkit[.]io? O site nem esta a funcionar e não encontro nenhuma informação histórica sobre esse serviço.

Será que era um serviço de terceiros ou da própria CoinMarketCap?
Sinceramente, começo achar esta historia um pouco estranha, e um passar as culpas para terceiros.

Não coloco em causa o perigo do problema, nem como ele pode realmente ter acontecido. Mas, acho estranho as informações que chegam.

Alias, não quis deixar de investigar um pouco mais antes de fechar o post...

O domínio cdnkit[.]io foi registado no dia 20/06/2023: https://www.whois.com/whois/cdnkit.io
Isso foi no dia do ataque ou um dia antes do ataque. Pergunta:
Como é que a CoinMarketCap usava este "serviço" para distribuir o doodle, se ele não exisita? 

Foi criado no dia e usando esse nome exatamente para de disfarçar como um cdn (content distribution network). Eu chutaria que:

a) fizeram engenharia social em um dev do CoinMarketCap e botaram esse link no doodle
b) conseguiram acesso para distribuir código em uma biblioteca que a CoinMarketCap usava (supply chain attack)

Depois foi só usar esse link pra se esconder como algo legitimo e esperar o momento, mudando o .json para executar javascript e mostrar o popup.

[joker_josue]

Foi criado no dia e usando esse nome exatamente para de disfarçar como um cdn (content distribution network). Eu chutaria que:

a) fizeram engenharia social em um dev do CoinMarketCap e botaram esse link no doodle
b) conseguiram acesso para distribuir código em uma biblioteca que a CoinMarketCap usava (supply chain attack)

Depois foi só usar esse link pra se esconder como algo legitimo e esperar o momento, mudando o .json para executar javascript e mostrar o popup.

Isso realmente pode ter acontecido.
Mas, não conseguiam fazer isso tudo em 1 dia...

Na minha opinião, foi algum teste interno que correu mal, porque usaram uma biblioteca com problemas. Aquilo era só para testes, e foi por lapso colocado em produção.

[guid8]

tem que tomar muito cuidado com essas carteiras por extensão no browser o melhor é usar carteiras físicas