加密貨幣數據網站CoinMarketCap確認,已移除最近被注入至網站內、誘導用戶「驗證」錢包的惡意彈窗程式碼。事件令高流量加密平台的安全風險再度引起關注。
這一問題於週五由CoinMarketCap在其官方X帳號首次承認,涉及一個釣魚彈窗,據稱向未有戒心的訪客發出虛假的錢包驗證訊息。
公司表示已迅速移除惡意程式碼,而調查仍在進行中,以釐清事件範圍及來源。
「我們已識別及移除網站上的惡意程式碼,」公司指,並補充「團隊正繼續調查及採取措施加強安全。」
更新資訊於首次承認可疑彈窗約三小時後公布。當時,網民在X及社交媒體上不斷警告及討論網站的異常行為。
釣魚彈窗即時觸發警報
那個惡意彈窗假扮安全驗證,誘使用戶連接加密錢包。多名加密貨幣用戶包括著名鏈上觀察者警告,此騙局旨在盜取錢包認證及代幣授權。
用戶Auri上載彈窗截圖並警告,該頁面要求使用者連接錢包並批准ERC-20代幣權限——這是盜錢騙局常見手法。一旦授權後,惡意分子無需額外操作即可轉走資產。
此類騙局並非新鮮事,但手法越來越高明,透過社交工程及用戶對大型平台的信任,利用用戶疏忽令錢包受損。眾多主流錢包服務供應商均迅速察覺該平台的問題。例如MetaMask與Phantom都曾將CoinMarketCap網域標示為不安全。
有用戶Jet分享Phantom(一款流行Solana及以太坊錢包)發出瀏覽器警告,把CoinMarketCap標註為「不安全」。這種自動攔截旨在阻止用戶進一步接觸有危機的網站。
截至發稿時,多款瀏覽器錢包的安全團隊仍密切監測局勢,預防更多釣魚損失。CoinMarketCap再次提醒,用戶切勿連接錢包於來源不明或未經認證的平台彈窗。
攻擊手法調查進行中
CoinMarketCap雖聲稱已經移除惡意程式碼,但相關程式碼經何途被注入仍未明朗。公司暫未確認是網站自身漏洞,抑或透過第三方整合(如廣告腳本)入侵,但過往高流量網站經常因廣告而被攻擊。
公司強調全面調查仍在進行,並強化額外保安措施。CoinMarketCap暫未公開有否用戶受影響,或有惡意程式碼潛伏多久。
今次事件亦令人重提2021年10月CoinMarketCap曾經的資料外洩,當時有310萬以上用戶電郵被盜。該次事件於數據出現在駭客論壇及Have I Been Pwned索引後獲得證實。
雖2021年未有密碼或個人資料被盜,但CoinMarketCap再現安全事故,引發外界對平台能否妥善保護基礎建設與用戶的疑慮。
作為加密貨幣報價、市值及代幣追蹤主要來源,CoinMarketCap每逢安全漏洞,行業影響極廣。此類釣魚彈窗,因為用戶信任平台,資產損失可十分嚴重。
針對加密用戶釣魚詐騙趨勢上升
是次CoinMarketCap事件反映廣泛且手法升級的針對加密用戶的釣魚詐騙。根據Chainalysis,2023年加密世界因釣魚及社交工程詐騙損失超過10億美元,預期2025年將因信任平台被攻擊而進一步上升。
Web3安全專家指出,這類攻擊常始於入侵內容分發網絡、插件或正規網站廣告層。黑客注入後可展現錢包連接提示、偽授權彈窗,或轉址至假介面。
因應事件,CoinMarketCap用戶現被呼籲時刻警覺,仔細核對網上遇到的錢包連結提示。安全專家建議只用官方錢包應用、停用自動授權,並利用revoke.cash等工具定期檢查錢包效權。
MetaMask等錢包亦已增設警告系統、瀏覽器提示及AI檢測,主動打擊這類新型釣魚攻擊。
同時,加密產業正共同推動更嚴格的安全標準及數據平台的負責任通報機制。自2020年被Binance收購後,CoinMarketCap需加強基建保安,以回應其作為全球最多人訪問的加密數據平台的地位。
行業反應
是次事件於加密社群內引起熱議,不少用戶要求CoinMarketCap加強透明度,交代攻擊如何發生及將來防範措施。
安全研究者亦強調行業協作的重要,要共同分享新型威脅情報。在去中心化的生態內,安全責任不只落在用戶,平台與基礎設施供應商亦需同時檢測、溝通、防範威脅。
有業內觀察者指出,高調攻擊不僅威脅行業聲譽,尤其目前主流用戶增加、監管審查加深之時。
CoinMarketCap能迅速移除釣魚彈窗展示其應變能力,但事件亦反映加密行業Web基建潛在風險。隨調查繼續,無論用戶或平台,皆需保持主動安全意識、高效危機應對及加強教育,避免資產損失及維繫信任。