CoinMarketCap, vous connaissez ? Ce site où tout l’écosystème crypto va checker compulsivement si son portefeuille a fait +300% ou -90% dans la nuit. Eh bien cette fois, ce ne sont pas les tokens qui ont chuté… mais la confiance.
Dimanche 22 juin 2025, en plein week-end crypto (et oui, ça ne ferme jamais), une alerte tombe : CoinMarketCap a été compromis. Pas le backend, mais le site web lui-même. Résultat : une attaque de la chaîne d’approvisionnement qui a injecté un faux popup Web3 destiné à siphonner les portefeuilles connectés. Et les visiteurs ? Certains ont cliqué. D’autres se sont fait drainer. Et beaucoup n’ont rien vu venir.
🧙♂️ Le Web3, cet Eldorado décentralisé où tout est sécurisé… sauf les sites web
L’ironie est totale : CoinMarketCap, propriété de Binance, se veut le cœur battant de l’écosystème décentralisé. Mais dans cette affaire, c’est bien un site Web2 classique qui a servi de cheval de Troie.
Le mode opératoire :
- un script tiers compromis (probablement via une dépendance JavaScript),
- injecte un faux popup “Connect your wallet”,
- qui, une fois validé, déclenche la signature d’une transaction malveillante,
- et hop : vos cryptos prennent la tangente.
Bienvenue dans le monde merveilleux du wallet drainer. Et ici, pas de chargeback, pas de médiation, pas de remboursement par Visa.
🚨 D’où vient la faille ?
Pas de piratage des serveurs principaux de CoinMarketCap. Le problème vient d’un fournisseur tiers, utilisé pour afficher des contenus dynamiques ou de l’analytics. Un classique de la supply chain web, où le moindre script externe peut devenir une bombe à retardement si son mainteneur se fait compromettre.
“Not your script, not your security.”
Ce genre d’attaque n’est pas nouveau. On se souvient de British Airways, Ticketmaster, et des centaines d’autres victimes de Magecart. Mais dans l’univers crypto, l’effet est démultiplié : une simple signature, et c’est votre portefeuille entier qui s’envole.
🧑💻 Qui s’est fait avoir ?
Le nombre de victimes n’est pas encore confirmé, mais certains utilisateurs sur Twitter (pardon, X) ont déjà partagé des captures de transactions douteuses, des NFTs disparus, et des stablecoins évaporés. On parle de plusieurs dizaines de portefeuilles vidés en quelques heures.
Évidemment, CoinMarketCap a vite retiré le script malveillant, publié un communiqué, et promis un audit. Les grandes lignes :
- “L’incident a été résolu rapidement”
- “Aucune donnée utilisateur compromise” (si ce n’est les fonds…)
- “Soyez prudents et ne signez jamais de transactions inconnues” (ah, le conseil après l’incendie…)
😅 Le popup maudit
Le plus croustillant dans cette histoire ? Le popup avait tout l’air d’un composant Web3 classique :
- logo soigné,
- nom de portefeuille détecté automatiquement,
- message rassurant (« Signature demandée pour vous connecter à CoinMarketCap »),
- et une petite fonction
eth_signbien camouflée.
Et voilà comment on fait dire à MetaMask de valider un transfert vers une adresse pirate.
💡 Rappel pédagogique pour les fans de DeFi :
- Ne signez jamais sans lire.
- Un simple clic peut déclencher une transaction irréversible.
- Les sites Web3 sont toujours Web2 en façade.
- Vos cryptos ne sont pas plus en sécurité que vos habitudes de navigation.
Et surtout : “Connect Wallet” ne veut pas dire “Connect Trust.”
🧨 Morale de l’histoire
Le Web3 se rêve décentralisé, souverain et résilient. Mais tant que le front-end repose sur un site Web vulnérable, l’ensemble reste une magnifique forteresse… avec une porte ouverte sur l’arrière-cuisine.
“Quand tu sécurises ta clé privée comme Fort Knox, mais que tu cliques sur un popup foireux, t’as juste déplacé le problème.”
Et pendant qu’on y est, va peut-être revoir tes permissions sur MetaMask. Spoiler : tu vas être surpris.
