Ngày 20/6/2025, trang web CoinMarketCap – nền tảng theo dõi giá tiền điện tử hàng đầu – xác nhận bị tấn công chuỗi cung ứng (supply chain attack), khiến một số người dùng thấy popup Web3 giả mạo yêu cầu kết nối ví. Khi người dùng làm theo, ví của họ lập tức bị rút sạch tài sản thông qua một đoạn mã độc Javascript.
Sự cố bắt nguồn từ một lỗ hổng liên quan đến hình ảnh “doodle” trên trang chủ CoinMarketCap. Tin tặc đã chèn mã JavaScript độc hại thông qua payload JSON bị chỉnh sửa, dẫn đến việc tải đoạn mã wallet drainer từ một tên miền bên ngoài. Mã này giả dạng yêu cầu kết nối Web3, đánh lừa người dùng và chiếm quyền truy cập ví.
Công ty an ninh mạng c/side nhận định đây là một cuộc tấn công chuỗi cung ứng (supply chain attack) – tức là không nhằm vào máy chủ nội bộ của CoinMarketCap, mà khai thác một thành phần bên thứ ba được sử dụng trên website. Việc lợi dụng một API tưởng chừng vô hại để chèn mã độc giúp mã độc khó bị phát hiện, đặc biệt là khi nó đến từ một nguồn mà hệ thống vốn đã tin cậy.
Hacker có biệt danh Rey sau đó tiết lộ nhóm tấn công đã đánh cắp hơn 43.000 USD từ 110 nạn nhân, và chia sẻ bảng điều khiển wallet drainer trên Telegram như một “chiến tích” thách thức toàn bộ cộng đồng bảo mật.
Sự việc một lần nữa nhấn mạnh mức độ nghiêm trọng của các wallet drainer – kỹ thuật tấn công ngày càng phổ biến trong không gian tiền mã hóa. Khác với phishing truyền thống, các chiến dịch wallet drainer thường được phân phối thông qua mạng xã hội, quảng cáo, website giả mạo, hoặc tiện ích trình duyệt độc hại có chứa mã rút ví.
Theo các báo cáo gần đây, chỉ riêng trong năm 2024, wallet drainers đã đánh cắp gần 500 triệu USD, ảnh hưởng đến hơn 300.000 địa chỉ ví. Trước tình trạng lan rộng này, Mozilla đã triển khai một hệ thống mới giúp phát hiện wallet drainer trong các add-on trình duyệt Firefox.
