Ausgangspunkt für den Angriff war laut c/side eine dynamisch geladene Doodle-Grafik auf der CoinMarketCap-Startseite. Die Plattform nutzt derartige Grafiken, um etwa Logos für besondere Anlässe einzuspielen. Deren Metadaten gelangen dabei über eine interne API von der externen Domain "cdnkit.io" zu CoinMarketCap. Doch statt einer Bildreferenz enthielt die JSON-Antwort in dem Fall ein eingebettetes JavaScript, das direkt im Browser des Nutzers ablief. Der Code ersetzte originale Seitenelemente und lud ein weiteres Skript nach, das ein täuschend echtes Overlay mit einem Wallet-Verbindungsdialog erzeugte.

Phishing mit angepasstem Verhalten

Die Angreifer setzten auf eine Kombination aus Social Engineering und technischer Täuschung: Das Popup war visuell an CMC angepasst, verwendete Dringlichkeitsrhetorik und passte sich an verschiedene Wallet-Typen an. Die Interaktionen führten zu verdächtigen Domains wie "walletconnect.com" oder "trustwallet.com", die im Rahmen des Angriffs zur Exfiltration von Zugangsdaten missbraucht wurden. Alle Skripte liefen ausschließlich clientseitig, was serverseitige Sicherheitsmechanismen wirkungslos machte.

Der Ablauf der Kompromittierung erfolgte in mehreren aufeinanderfolgenden Stufen. Die initiale Manipulation begann mit einem JSON-Antwortobjekt der API "api.coinmarketcap.com/content/v3/doodle/get?type=5", das auf weitere Ressourcen bei "cdnkit.io" verwies. Das eingebettete JavaScript prüfte, ob es bereits aktiv war, setzte ein entsprechendes Flag und manipulierte anschließend gezielt das DOM der Webseite.

Sichtbare Elemente wie das CMC-Logo wurden verändert oder entfernt, während zusätzliche Schadskripte von blockassets.app nachgeladen wurden. Diese erzeugten ein interaktives Overlay mit angepasster Phishing-Logik, das gängige Wallets unterstützte und über Umleitungen Daten an nicht vertrauenswürdige Domains übermittelte.

Supply-Chain-Angriffe über Skripte

Die Attacke erfolgte kurz vor dem Wochenende – vermutlich in der Hoffnung, dass Sicherheitsverantwortliche spät oder verzögert reagieren. Laut veröffentlichten Screenshots eines Angreifer-Dashboards wurden mindestens 110 Wallets kompromittiert, der finanzielle Schaden lag bei rund 43.000 US-Dollar. Die Infrastruktur der Attacke nutzte mehrere unautorisierte Domains, darunter auch eine gezielt falsch geschriebene CMC-Subdomain.

Der Vorfall steht exemplarisch für eine wachsende Bedrohung durch Supply-Chain-Angriffe über Drittanbieter-Skripte. Für Webplattformen ergeben sich daraus konkrete Schutzmaßnahmen: Subresource Integrity (SRI), regelmäßige Code-Audits und der Einsatz von client-seitigem Monitoring sind zentrale Gegenmaßnahmen. Der Fall CoinMarketCap zeigt, wie schnell das Vertrauen in bekannte Plattformen technisch untergraben werden kann.