加密數據聚合平台CoinMarketCap,已確認移除了近日被注入網站的惡意代碼,該代碼曾向用戶彈出「驗證」錢包的詐騙彈窗。此事件再度引發外界對高流量加密平台安全漏洞的關注。
這個問題最初由CoinMarketCap在其X(前稱Twitter)官方帳號於星期五公開承認,涉及一個偽裝成錢包驗證的釣魚彈窗,向毫不知情的訪客顯示虛假訊息。
CoinMarketCap宣布,已快速移除了相關惡意代碼,但調查仍在進行中,以全面釐清入侵範圍及來源。
公司聲明:「我們已發現並移除網站內的惡意代碼,團隊仍會繼續深入調查,並加強安全措施。」
最新更新距首次承認異常彈窗僅三小時,CoinMarketCap的快速反應來自用戶在X等社交平台不斷警告及發現可疑行為。
釣魚彈窗即時引起警覺
該惡意彈窗誘導用戶以「安全驗證」名義,連結其加密錢包。多位加密用戶及鏈上觀察者提醒,這是典型的利用用戶授權錢包權限、套取資料及資產的詐騙技倆。
有用戶Auri截圖警告,彈窗要求錢包連結及ERC-20 代幣授權,這類手法常見於「抽錢包」詐騙,授權後黑客可無需再被用戶確認便轉走資產。
這種詐騙早有案例,但手法日益複雜,結合社交工程及用戶對主流平台的信任進行騙局。多間主流錢包如MetaMask和Phantom在攻擊期間已標記CoinMarketCap網域為不安全。
加密用戶Jet分享,Phantom已發出瀏覽器警告,警示CoinMarketCap「不適宜使用」。這類提醒旨在阻止用戶接觸受感染網站。
於截稿時,多個瀏覽器錢包安全團隊仍持續監察事態防止進一步損失。CoinMarketCap亦強調,若非經過核實和信任的錢包介面,不應連結或響應任何彈窗。
攻擊來源仍在調查中
雖然CoinMarketCap聲稱已移除惡意代碼,但入侵手法未明。暫時未知是否網站本身被攻破,抑或經由第三方整合(如廣告腳本)引入惡意代碼——這類攻擊以往亦曾在高流量平台出現。
CoinMarketCap表示,全面調查仍在進行,亦已實行額外安全措施。暫未披露任何用戶是否受影響、或惡意代碼活躍時長。
這次事件亦令人想起2021年10月CoinMarketCap遭遇的重大泄漏,逾310萬用戶電郵被盜並於黑客論壇流傳、列入Have I Been Pwned等數據外洩服務。
儘管2021年事件中無密碼或個人資料被洩,但今次再次出現安全事故,引起用戶對CoinMarketCap基礎設施及安全能力的憂慮。
CoinMarketCap作為重要加密價格及數據來源平台,若出現安全漏洞,勢必對整個行業帶來重大連鎖影響。類似釣魚彈窗或會令信任度高的平台用戶蒙受大量資產損失。
加密釣魚攻擊趨勢升溫
CoinMarketCap事件屬精密釣魚詐騙逐漸針對加密用戶的大趨勢之一。據Chainalysis指,2023年加密釣魚及社交攻擊造成超過10億美元損失,預料2025年隨攻擊者利用大型平台漏洞,損失更大。
Web3安全專家指出,攻擊常由滲透內容分發網絡、插件或廣告層入手。入侵後,惡意腳本可彈出錢包連結提示、注入假授權請求或導向偽造介面。
在此事件後,CoinMarketCap用戶被敦促提高警覺、核實所有網上錢包請求。專家建議只用官方錢包App,關閉自動授權,並善用如revoke.cash等工具管理現有權限。
MetaMask及其他錢包亦加強了預警機制、瀏覽器標記及AI偵測,積極攔截惡意攻擊。
與此同時,行業持續推動完善安全標準及負責任的漏洞通報機制。自2020年Binance收購CoinMarketCap以來,外界對其基礎設施安全要求提升,畢竟其流量居全球加密數據平台之冠。
行業反應
是次事件觸發加密社群討論,不少人要求CoinMarketCap加強透明度,清楚交代事件起因及未來防範措施。
安全研究人員亦強調行業需加強協作,互通威脅情資。在去中心化生態下,保障責任不單落在用戶,更在於平台和基建持份者必須即時偵測、傳達及抑制風險。
另有觀察者指出,高調攻擊事件正對加密行業帶來聲譽風險,尤其主流認受性提升及監管審視日增之際。
CoinMarketCap能迅速移除惡意彈窗顯示其應變,但事件反映加密網絡基礎建設仍存漏洞。調查持續進行,各方須加強預防意識、迅速應變及用戶教育,以避免資產損失及維護信任。