最近，流行的加密货币价格跟踪网站 CoinMarketCap 遭受了网站供应链攻击，使网站访客暴露在钱包榨取活动下，以窃取访客的加密货币。

1 月，CoinMarketCap 的访问者开始看到 Web3 弹出窗口，要求他们将钱包连接到该网站。然而，当访问者连接他们的钱包时，一个恶意脚本会从他们的钱包中抽取加密货币。

该公司后来证实，攻击者利用该网站主页 "doodle" 图像中的一个漏洞，将恶意 JavaScript 注入该网站。该链接通过 API 调用触发恶意代码，导致一些用户在访问主页时意外弹出。

网络安全公司 c/side 解释说，攻击者以某种方式修改了网站使用的 API，以检索在主页上显示的涂鸦图像。这个被篡改的 JSON 有效负载现在包括一个恶意脚本标签，它从一个名为 "static.cdnkit [ . ] io" 的外部站点向 CoinMarketCap 注入了一个钱包耗尽脚本。

当有人访问该页面时，该脚本将执行并显示一个假的钱包连接弹出窗口，显示 CoinMarketCap 品牌并模仿合法的 Web3 交易请求。然而，这个脚本实际上是一个钱包耗尽器，旨在窃取连接钱包的资产。

c/side 解释说：" 这是一次供应链攻击，这意味着攻击目标不是 CMC 自己的服务器，而是 CMC 使用的第三方工具或资源。这种攻击很难被发现，因为它们利用了平台上受信任的元素。"

关于这次攻击的更多细节后来来自一个名叫 Rey 的黑客，他说 CoinMarketCap 供应链攻击背后的攻击者在 Telegram 频道上分享了一个排水面板的截图。

该小组指出，作为供应链攻击的一部分，110 名受害者的 43266 美元被盗，威胁者在 Telegram 频道上用法语阐述了此事件。

在 Telegram 上分享的面板截图

随着加密货币的普及，攻击中常用的钱包榨取器的威胁也相应增加。与传统的网络钓鱼不同，这些类型的攻击通常通过社交媒体帖子、广告、欺骗网站和包含恶意钱包耗尽脚本的恶意浏览器扩展来推广。报告显示，钱包窃取者在 2024 年通过攻击超过 30 万个钱包地址窃取了近 5 亿美元，这个问题已经变得如此普遍。