CoinMarketCap ซึ่งเป็นเว็บไซต์ติดตามราคาคริปโตชื่อดัง ถูกโจมตีทางไซเบอร์ผ่านช่องโหว่ในลักษณะ supply chain attack ของเว็บไซต์ ส่งผลให้ผู้ใช้งานที่เข้าชมเว็บไซต์ตกเป็นเป้าหมายของแคมเปญหลอกลวงเพื่อขโมยคริปโตจาก wallet
เย็นวันศุกร์ที่ 20 มกราคม ผู้ใช้งานที่เข้าชมเว็บไซต์ CoinMarketCap พบ Web3 popup เด้งขึ้นมาขอให้เชื่อมต่อ wallets กับเว็บไซต์ แต่ทันทีที่ทำการเชื่อมต่อ สคริปต์อันตรายที่ซ่อนอยู่ก็เริ่มขโมยคริปโตออกจาก wallets ของผู้ใช้งานทันที
บริษัทได้ยืนยันในภายหลังว่ากลุ่มผู้ไม่ประสงค์ดีได้ใช้ช่องโหว่ใน doodle image บนหน้าแรกของเว็บไซต์เพื่อฝังโค้ด JavaScript ที่เป็นอันตรายลงในเว็บไซต์ ทีมรักษาความปลอดภัยของบริษัทตรวจพบช่องโหว่นี้เมื่อวันที่ 20 มิถุนายน 2025 โดยพบว่า doodle image ดังกล่าวมีลิงก์ที่เรียกใช้โค้ดอันตรายผ่าน API ส่งผลให้ผู้ใช้งานบางรายเห็นหน้าต่าง popup เมื่อเข้าเยี่ยมชมหน้าแรกของเว็บไซต์
หลังจากตรวจพบปัญหา บริษัทได้เร่งดำเนินการลบเนื้อหาที่ก่อให้เกิดปัญหา ระบุสาเหตุที่เกิดขึ้น และนำมาตรการมาใช้ในการ isolate และแก้ไขปัญหาอย่างทันท่วงที
CoinMarketCap ระบุว่า "ขณะนี้ระบบทั้งหมดกลับมาใช้งานได้อย่างสมบูรณ์ และ CoinMarketCap ปลอดภัยสำหรับผู้ใช้งานทุกคน"
บริษัทด้านความปลอดภัยไซเบอร์ c/side อธิบายว่า การโจมตีครั้งนี้เกิดขึ้นโดยกลุ่มผู้โจมตีที่ดัดแปลง API ที่เว็บไซต์ใช้ในการดึง doodle image เพื่อแสดงบนหน้าแรกของเว็บไซต์ ข้อมูล JSON ที่ถูกดัดแปลงนี้ได้ถูกฝังด้วยแท็กสคริปต์อันตราย ซึ่งทำหน้าที่ injected สคริปต์ที่ใช้ขโมยเงินจาก wallets เข้าสู่ CoinMarketCap ผ่านเว็บไซต์ภายนอกที่ชื่อว่า "static.cdnkit[.]io"
เมื่อผู้ใช้งานใดก็ตามเข้าเยี่ยมชมหน้าเว็บไซต์ สคริปต์นี้จะทำงาน และแสดงหน้าต่าง popup เพื่อเชื่อมต่อ wallets ที่มีสัญลักษณ์ของ CoinMarketCap และเลียนแบบ Web3 transaction request ที่ถูกต้อง อย่างไรก็ตาม สคริปต์นี้เป็นสคริปต์ขโมยเงินจาก wallets ที่เชื่อมต่อ โดยถูกออกแบบมาเพื่อขโมยทรัพย์สินใน wallets เหล่านั้น
c/side อธิบายว่า เหตุการณ์นี้เป็นการโจมตีแบบ supply chain attack หมายความว่าการเจาะระบบไม่ได้เกิดขึ้นกับเซิร์ฟเวอร์ของ CMC โดยตรง แต่เป็นกับเครื่องมือหรือทรัพยากรจาก third-party ที่ CMC ใช้งาน
การโจมตีในลักษณะนี้ตรวจจับได้ยากเนื่องจากใช้ประโยชน์จากองค์ประกอบที่ได้รับความไว้วางใจภายในแพลตฟอร์มนั้น ๆ
รายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีถูกเปิดเผยในภายหลังโดยกลุ่มผู้ไม่หวังดีที่รู้จักกันในชื่อ Rey ซึ่งระบุว่า ผู้โจมตีที่อยู่เบื้องหลังเหตุการณ์ครั้งนี้ของ CoinMarketCap ได้แชร์ภาพหน้าจอของ panel ควบคุมการขโมยเงินผ่านช่องทาง Telegram channel
ภาพดังกล่าวแสดงให้เห็นว่ามีทรัพย์สินมูลค่า 43,266 ดอลลาร์ถูกขโมยจากเหยื่อ 110 รายในเหตุการณ์ครั้งนี้ โดยกลุ่มผู้โจมตีได้สื่อสารกันเป็นภาษาฝรั่งเศสบน Telegram channel ดังกล่าว
เมื่อคริปโตเคอร์เรนซีได้รับความนิยมมากขึ้น การโจมตีจากสคริปต์ขโมยเงินใน wallets หรือ wallet drainer ก็ถูกใช้ในการโจมตีเพิ่มสูงขึ้นอย่างมีนัยสำคัญ
แตกต่างจากการฟิชชิงแบบทั่วไป การโจมตีในลักษณะนี้มักแพร่กระจายผ่านโพสต์บนโซเชียลมีเดีย, โฆษณาเว็บไซต์ปลอม, รวมถึงเบราว์เซอร์ extension ที่แฝงด้วยสคริปต์ขโมยเงินใน wallets รายงานในปี 2024 สคริปต์ขโมยเงินเหล่านี้ได้ขโมยทรัพย์สินไปเกือบ 500 ล้านดอลลาร์ จากการโจมตีที่มุ่งเป้าไปยัง wallets address มากกว่า 300,000 รายการ
ปัญหาดังกล่าวรุนแรงจน Mozilla ต้องพัฒนาระบบใหม่เพื่อช่วยตรวจจับสคริปต์ขโมยเงินใน wallets ที่ฝังอยู่ในเบราว์เซอร์ extension ที่ถูกอัปโหลดเข้าสู่ระบบ Firefox Add-on
ที่มา : bleepingcomputer
You must be logged in to post a comment.