CoinMarketCap ve Cointelegraph web siteleri, ziyaretçilere akıllı kimlik avı pop-up’larına hizmet etmek için hafta sonu tehlikeye atıldı ve kripto cüzdanlarını doğrulamalarını/bağlamalarını istedi.
Coinmarketcap uzlaşması
CoinMarketCap (diğer adıyla CMC), kripto para birimi fiyatlarını, piyasa değerini ve ticaret hacimlerini izlediği için kripto yatırımcıları arasında popüler bir web sitesidir.
20 Haziran 2025’te, sitenin ana sayfasını ziyaret edenler, CMC hesaplarına erişimi sürdürmek için cüzdanlarını bağlamaya çağıran bir pop-up ile karşı karşıya kaldı.
CMC’de kötü niyetli pop-up
Web3 zincirli güvenlik şirketi Blockaid’e göre, sitedeki kötü amaçlı açılır pop-up 20 Haziran (Cuma), saat 21.00 civarında UTC/GMT’de görünmeye başladı.
Coinmarketcap, Cumartesi günü uzlaşmayı doğruladı ve saldırıyı mümkün kılan “güvenlik açığının” (üçüncü taraf) bir “doodle” görüntüsünün ana sayfaya verilmesiyle ilişkili olduğunu söyledi.
“Bu doodle görüntüsü, bir API çağrısı aracılığıyla kötü amaçlı kodu tetikleyen bir bağlantı içeriyordu ve bu da ana sayfamızı ziyaret ettiğinde bazı kullanıcılar için beklenmedik bir açılır pencere ile sonuçlandı” dedi.
Pazartesi günü, 76 ziyaretçinin cüzdanlarını bağlamak için kandırıldığını ve saldırganların geri ödemeye söz verdikleri toplam 21.624.47 dolar çaldığını doğruladılar.
Bu nasıl oldu?
ABD tabanlı başlangıç C/Side, tehdit aktörlerinin karalama görüntüsünü yükleyen API talebine müdahale etmeyi başardığını ve yalnızca aktif karalamalar hakkında meta verileri içeren bir JSON dosyası getirmesini sağladığını, aynı zamanda şunları yapmak için tasarlanmış gizli JavaScript kodu:
- Kullanıcının tarayıcısında çalıştır/yürüt
- Seans başına yalnızca bir kez çalışacağından emin olun
- Sitenin meşru unsurlarını gizle
- Kötü niyetli mesajla gerçekçi, tam ekran bir bindirme oluşturun ve sunmak
“Kullanıcı ‘Bağlan cüzdanı’ tıkladığında, komut dosyası bir kripto cüzdanına (örn. Metamask, Phantom) bağlanmaya çalışır” diye açıkladı. “Bağlısa, komut dosyası cüzdan kimlik bilgilerini veya özel anahtarları çalmak için Rogue Domains (örneğin, calletconnect.com, trustwallet.com) ile iletişim kurar.”
Pop-up komut dosyası, daha büyük bir JavaScript kütüphanesi ile etkileşime girdiler, popüler cüzdanları algılayan ve bağlayan, kimlik avı akışını özelleştiren, kullanıcıyı kötü niyetli işlemler imzalamaya yönlendiren ve kullanıcıları farklı cüzdanlarla yeniden denemeye basınçlı olarak sahte hata mesajlarını görüntüler.
“Bu olay bir tedarik zinciri saldırısının bir ders kitabı örneğidir. Saldırganlar, Coinmarketcap’ın sunucularını doğrudan ihlal etmediler. Bunun yerine, CMC’nin ön ucu güvendiği üçüncü taraf bir kaynağı (Doodle Image’ın JSON dosyası) tehlikeye attılar” diye açıkladılar.
“İstemci tarafı saldırıları (kullanıcının tarayıcısında çalışan kod) özellikle tehlikelidir, çünkü sunucu tarafı güvenlik araçlarını (örn. Güvenlik duvarları, saldırı algılama sistemleri) atlarlar, tanıdık bir platformda (CMC) kullanıcı güvenini kullanırlar ve her sayfa ziyaretiyle kötü niyetli kod yüklendikçe hızlı bir şekilde yayılabilirler.”
Kripto ve blockchain haber outleti Cointelegraph da bugün, “banner yayınlama sisteminin 21 Haziran’da kısaca tehlikeye atıldığını ve bu da sahte bir jeton havasını teşvik eden kötü niyetli bir reklamın sonuçlandığını doğruladı. [their] web sitesi. “
Cointelegraph’ta kötü niyetli pop-up (kaynak: aldatmaca sniffer)
Her iki saldırı da, son birkaç yılda benzer bir saldırı mümkün kılan ve yüz milyonlarca kaybına neden olan bir “hizmet olarak drenaj” kıyafeti olan Inferno drain müşterilerine bağlı görünüyor.
Her iki site de “temizlendi” ve şirketler gelecekte benzer saldırıları önlemek için güvenlik kontrollerini güçlendirdiklerini söyledi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!