Retour au blogSécurité

CoinMarketCap Piraté : Millions de Portefeuilles Exposés

CZSyn
19 janvier 2025
5 min de lecture

CoinMarketCap victime d'une cyberattaque majeure. Données de portefeuilles crypto exposées. Comment vérifier si vous êtes concerné et protéger vos assets.

CoinMarketCap, le site de référence pour le suivi des cryptomonnaies, a été victime d'une cyberattaque. Des millions d'adresses email et de données de portefeuilles ont été exposées.

Ce Qui S'est Passé

L'attaque a exploité une vulnérabilité dans l'API de CoinMarketCap permettant d'accéder à la base de données des utilisateurs enregistrés :

  • Adresses email des utilisateurs
  • Adresses de portefeuilles suivis (watchlist)
  • Historique de navigation sur le site
  • Préférences et alertes configurées

Important : CoinMarketCap ne stocke pas de clés privées. Vos fonds ne sont pas directement en danger.

Les Risques Réels

1. Phishing ciblé

Avec la liste des portefeuilles que vous suivez, les attaquants peuvent :

  • Envoyer des emails personnalisés mentionnant vos tokens
  • Créer de faux sites de DEX/wallets ciblés
  • Vous contacter en prétendant être le support d'un projet que vous suivez

2. Analyse de richesse

Si votre email est lié à une identité réelle, les attaquants peuvent estimer votre patrimoine crypto et vous cibler pour des attaques plus sophistiquées (SIM swap, home invasion dans les cas extrêmes).

3. Corrélation d'identité

La combinaison email + adresses de portefeuilles permet de lier une identité réelle à des wallets blockchain, brisant l'anonymat.

Comment Vérifier Si Vous Êtes Concerné

  1. Vérifiez votre email sur Have I Been Pwned
  2. Consultez les communications officielles de CoinMarketCap
  3. Surveillez les tentatives de phishing dans vos emails

Actions Recommandées

Immédiatement

  • Changez vos mots de passe CoinMarketCap et tout site avec le même password
  • Activez la 2FA partout (pas SMS, préférez TOTP ou hardware key)
  • Soyez paranoïaque sur les emails liés aux cryptos

Si vous avez des montants significatifs

  • Utilisez un hardware wallet (Ledger, Trezor)
  • Créez de nouvelles adresses non liées à votre identité
  • Migrez vos fonds progressivement vers des wallets propres
  • Utilisez un email dédié pour les services crypto

Leçons pour les Développeurs

Cette fuite rappelle l'importance de :

  • Minimiser les données stockées : Ne gardez que le nécessaire
  • Chiffrer les données sensibles : Même les watchlists
  • Auditer les APIs : Rate limiting, authentification, logging
  • Plan de réponse : Savoir réagir en cas de breach

Conclusion

Cette attaque montre que même des données "non sensibles" (watchlists) peuvent être exploitées de manière dangereuse. La sécurité de vos utilisateurs va au-delà de la simple protection des mots de passe.

Besoin d'un audit sécurité pour votre application crypto/fintech ? Contactez-nous.

Un projet en tête ?

Discutons de votre projet et voyons comment nous pouvons vous aider.

Nous contacter