加密貨幣數據彙整平台CoinMarketCap已證實,近期被注入其網站的惡意程式碼已被移除。該程式碼會對用戶彈出詐騙視窗,要求「驗證」錢包,事件引發業界對高流量加密平台安全漏洞的新關切。
CoinMarketCap於週五在其官方X帳號首次承認此問題,指出網站出現類似釣魚的彈出視窗,針對不知情訪客顯示虛假的錢包驗證訊息。
該公司宣布已迅速移除惡意程式碼,目前仍在調查入侵的範圍及來源。
「我們已識別並移除了網站上的惡意程式碼,」CoinMarketCap表示,「團隊將持續調查並加強安全防護措施。」
這項更新發佈於CoinMarketCap首次承認可疑彈窗後的三小時。用戶在社群媒體,特別是X上發現並標記此異常行為,相關疑慮及用戶警告迅速擴散。
釣魚彈窗觸發警報
該惡意彈窗以安全驗證名義,要求用戶連接加密錢包。多位加密用戶及鏈上觀察者警告該詐騙試圖竊取錢包認證及代幣權限。
加密用戶Auri張貼彈窗截圖並示警,指出彈窗要求用戶連接錢包並同意ERC-20代幣存取權限——這是常見的錢包詐騙手法,一旦授予權限,惡意人員即可在無需用戶額外操作下轉移資產。
此類詐騙並非首見,且手法日益精密,融合社會工程學與對主流平台的信任,誘導用戶洩露錢包安全。領先的錢包服務商迅速識破該詐騙,MetaMask與Phantom都在該期間將CoinMarketCap網域標示為不安全。
用戶Jet表示,Solana與以太坊資產知名錢包Phantom即時發布瀏覽器警告,將CoinMarketCap標為「不建議使用」。錢包的自動警示機制旨在防止用戶與已遭入侵之網域互動。
截至目前,多款瀏覽器錢包的安全團隊仍緊密監控以防止進一步釣魚損害。CoinMarketCap再三提醒用戶,勿將錢包連接任何非官方、未驗證的彈窗或提示。
攻擊途徑調查中
雖CoinMarketCap已聲稱移除惡意程式碼,但注入手法仍未釐清。官方尚未證實到底是網站本身遭入侵,或是透過第三方整合(如廣告腳本)發動攻擊——高流量平台過去曾因而受害。
CoinMarketCap強調調查尚未結束,並將持續推動額外安全機制。官方未公開是否有用戶受到攻擊,或惡意程式碼在平台存留時長。
這起事件也讓外界回想起2021年10月CoinMarketCap舊案,當時超過310萬用戶郵件信箱遭外洩,資料還一度現身駭客論壇,被Have I Been Pwned等資安平台收錄。
雖2021年事件未有密碼或個資外洩紀錄,但CoinMarketCap再度出現資安事件,讓外界質疑其保護基礎建設與用戶安全的能力。
身為全球最具指標性的加密貨幣數據提供平台,CoinMarketCap一旦曝露安全漏洞,可能波及整個業界。平台的釣魚彈窗極易導致資產損失,原因在於用戶對其高度信任。
加密釣魚詐騙手法升級
CoinMarketCap事件反映出目前針對加密用戶的釣魚詐騙日益精細。根據Chainalysis,2023年因釣魚及社交工程手法造成的加密損失超過十億美元,預計2025年隨攻擊者把握主流平台漏洞,損失將再創新高。
Web3資安專家指出,這類攻擊常先入侵內容分發網路、插件或廣告層,植入惡意腳本後,即可執行錢包連接提示、偽造權限或將用戶導流至假介面等行為。
CoinMarketCap呼籲用戶提高警覺,遇到任何線上錢包提示均應再三確認。專家建議僅用官方錢包應用程序,關閉自動代幣授權,並善用revoke.cash等工具檢視目前錢包授權狀態。
MetaMask等錢包近期也加強警示系統、瀏覽器標示與AI偵測手法,主動攔截該類新型攻擊。
此外,加密產業內部正努力提高資安標準並推動平台負責任揭露漏洞。自2020年被Binance收購後,CoinMarketCap面臨基礎建設是否符合其領先地位的更多檢視。
產業反應
該事件在加密社群中掀起熱議,許多人要求CoinMarketCap提供更高透明度,說明事件如何發生及未來預防對策。
資安研究員強調,產業應加強共享威脅情報,在去中心化生態下,安全責任不僅在用戶,更在各服務平台與基礎設施提供商,需即時偵測、溝通並隔離風險。
另有產業觀察者指出,高調資安事件將影響加密產業聲譽,尤其在主流化與監管加強的當下,更顯其重要性。
CoinMarketCap能迅速移除釣魚彈窗展現其反應速度,但也再次揭露業界網路基礎建設潛在的資安挑戰。調查仍在進行,事件提醒產業與用戶持續強化主動防護、危機應變流程及資安意識,以防資產損失並維護信任。