Valeu, gosto de ler esses relatorios post mortem.
Então a CoinMarketCap usava esse CDNKIT para distribuir os arquivos de cada doodle, quando era preciso mostrar um. Um atacante, de alguma forma, conseguiu acessar os servidores desse terceiro e fez a modificação para injectar o javascript na página inicial do CMC.
Interessante que os atacantes compartilharam m print mostrando que conseguiram $43k nesse ataque:

Muito perigoso esses ataques de supply chain (onde a porta de entrada para o ataque está em um produto/serviço/biblioteca terceira que o serviço atacado usa). Não é a primeira vez que algo assim acontece.