Mã độc Web3 tấn công CoinMarketCap, 110 ví điện tử bị rút sạch tiền

Sự cố xảy ra vào tối ngày 20/6/2025 khi người dùng truy cập trang chủ CoinMarketCap và bất ngờ nhận được một cửa sổ bật lên yêu cầu kết nối ví Web3. Giao diện popup được thiết kế tinh vi, mang thương hiệu của CoinMarketCap và mô phỏng một yêu cầu giao dịch hợp pháp. Tuy nhiên, nếu người dùng xác nhận kết nối, một đoạn mã JavaScript độc hại lập tức được thực thi và rút sạch tài sản trong ví điện tử đã liên kết.

Nguyên nhân của cuộc tấn công xuất phát từ một hình ảnh doodle động hiển thị trên trang chủ CoinMarketCap. Hình ảnh này được tải về thông qua một API đã bị kẻ tấn công can thiệp và chỉnh sửa. Payload JSON từ API chứa một thẻ <script> độc hại trỏ đến máy chủ bên ngoài có địa chỉ static.cdnkit[.]io. Khi hình ảnh được hiển thị, đoạn mã này được kích hoạt và chèn vào trang, từ đó hiển thị cửa sổ giả mạo và đánh cắp tài sản ví điện tử của người dùng.

Theo công ty an ninh mạng c/side, đây là một cuộc tấn công chuỗi cung ứng, nghĩa là tin tặc không xâm nhập trực tiếp vào máy chủ của CoinMarketCap mà khai thác tài nguyên bên thứ ba được sử dụng trên trang. Việc lợi dụng một API tưởng chừng vô hại để chèn mã độc giúp mã độc khó bị phát hiện, đặc biệt là khi nó đến từ một nguồn mà hệ thống vốn đã tin cậy.

Một tin tặc có biệt danh Rey sau đó đã chia sẻ ảnh chụp bảng điều khiển rút ví được sử dụng trong chiến dịch tấn công này. Dữ liệu từ bảng điều khiển cho thấy tổng cộng 43.266 USD đã bị rút khỏi 110 ví điện tử. Điều đáng lo ngại là nhóm tấn công không hề ẩn mình. Họ sử dụng tiếng Pháp, hoạt động công khai trên kênh Telegram và ngang nhiên khoe "chiến tích" như một thông điệp đầy thách thức gửi đến cộng đồng an ninh mạng toàn cầu.

Ảnh chụp bảng điều khiển rút ví được chia sẻ trên Telegram​

Ngay sau khi phát hiện sự cố, đội ngũ bảo mật của CoinMarketCap đã nhanh chóng gỡ bỏ nội dung độc hại, khoanh vùng nguyên nhân và triển khai các biện pháp bảo mật bổ sung. Đại diện CoinMarketCap xác nhận toàn bộ hệ thống đã được khôi phục an toàn, đảm bảo website hiện tại an toàn và bảo mật cho người dùng.

Chuyên gia từ WhiteHat nhận định: "Các chiến dịch rút ví Web3 đã không còn dừng ở mức độ tấn công đơn lẻ mà đang trở thành một xu hướng đáng báo động trong hệ sinh thái blockchain phi tập trung. Khác với các nền tảng Web truyền thống, Web3 cho phép người dùng tự kiểm soát tài sản kỹ thuật số mà không thông qua bên trung gian – một lợi thế nhưng cũng là điểm yếu chí mạng nếu lớp bảo mật đầu cuối không đủ mạnh".

Để giảm thiểu rủi ro bảo mật, người dùng và quản trị viên hệ thống cần lưu ý:

Đối với người dùng:

• Không kết nối ví điện tử với các trang web hoặc popup lạ, kể cả khi giao diện trông có vẻ chính thống
• Kiểm tra kỹ tên miền, giao diện và xác thực nguồn gốc trước khi thực hiện bất kỳ giao dịch nào
• Ưu tiên sử dụng ví lạnh (cold wallet) để lưu trữ tài sản có giá trị lớn.
• Gỡ bỏ hoặc hạn chế sử dụng tiện ích trình duyệt không rõ nguồn gốc, đặc biệt với các extension Web3
• Thường xuyên cập nhật trình duyệt và phần mềm ví để vá các lỗ hổng bảo mật

Đối với quản trị hệ thống:

• Rà soát toàn bộ các tài nguyên bên thứ ba (API, CDN, thư viện) tích hợp trong hệ thống
• Triển khai chính sách Content Security Policy (CSP) để ngăn mã độc không rõ nguồn gốc
• Theo dõi log truy cập, phân tích hành vi người dùng và phát hiện sớm các tương tác bất thường
• Kiểm thử bảo mật định kỳ cho các thành phần giao diện động hoặc tài nguyên được tải từ ngoài

WhiteHat sẽ tiếp tục theo dõi và cập nhật thông tin liên quan đến vụ việc này. Cộng đồng người dùng và quản trị viên cần nâng cao cảnh giác, không chỉ trước các cuộc tấn công truyền thống mà cả những hình thức tinh vi hơn trong chuỗi cung ứng số.