加密貨幣數據聚合網站 CoinMarketCap 已證實其網站近日遭植入惡意程式碼,導致用戶看到假冒「驗證」錢包的詐騙彈窗,該程式碼現已移除。此次事件引發外界再度關注高流量加密平台的安全漏洞問題。
此問題於週五首次由 CoinMarketCap 透過其官方 X(推特)帳號發佈公告,內容指出有不知情訪客遭到假冒錢包驗證訊息的釣魚型彈窗攻擊。
CoinMarketCap 表示已迅速移除惡意程式碼,目前相關調查仍在進行,以確認攻擊的範圍及來源。
「我們已經發現並移除網站上的惡意程式碼,」官方聲明,同時補充「團隊會持續調查並採取措施加強安全性」。
這次更新距首次承認可疑彈窗僅過三小時,而最初的回應則是在社群媒體,特別是 X 上,越來越多用戶發現異常行為並發出警告時所做。
釣魚彈窗引發即時警報
惡意彈窗以驗證安全為由,要求用戶連結自己的加密錢包。多位資深用戶與鏈上觀察者指出這是以釣魚方式盜取錢包憑證及代幣權限。
加密用戶 Auri 上傳彈窗截圖並警告,彈窗要求用戶連接錢包並授權 ERC-20 代幣許可——這常見於錢包資產盜取的詐騙操作。一旦授權,攻擊者可不須進一步操作即可轉移資產。
這類詐騙時有發生,且愈來愈精密,結合社交工程與對大型平台的信任來欺騙用戶自曝風險。此次詐騙亦被主流錢包供應商們迅速識破,MetaMask 與 Phantom 均曾將 CoinMarketCap 網域標示為不安全。
加密用戶 Jet 指出,Phantom(Solana 與以太坊資產熱門錢包)已對 CoinMarketCap 應用標記「不安全」。錢包軟體的自動紅色警告能預防用戶與可能受害的網站互動。
截稿前,多款瀏覽器錢包的安全團隊仍密切監控以防止進一步釣魚損害。CoinMarketCap 強調,切勿在非經過驗證的錢包介面下將錢包連線至任何彈窗或提示。
攻擊途徑持續調查中
儘管 CoinMarketCap 已宣稱移除惡意程式碼,但其植入方式尚未明朗。官方尚未證實是網站本身被攻陷,還是透過包括廣告腳本在內的第三方外掛進入;部分高流量平台過去曾因這些方式出現資安事件。
官方強調完整調查尚在進行,額外資安防護已部署。至於是否有用戶受害或惡意程式碼存留於網站的時間,CoinMarketCap 目前並未公開。
這次事件也讓外界重提 2021 年 10 月 CoinMarketCap 曾發生的用戶數據外洩風波,逾 310 萬用戶電郵外流。當時事件經駭客論壇外流資料與 Have I Been Pwned 資安通知確認。
儘管官方指稱 2021 年未有密碼或個資流出,這次事件再度引發用戶對平台基礎設施與安全能力的疑慮。
CoinMarketCap 作為加密行情與幣種追蹤第一入口平台,任何安全破口都將對產業帶來廣泛影響。用戶對平台高度信任,使類似釣魚彈窗可能導致重大資產損失。
針對加密用戶的釣魚詐騙攀升
此次 CoinMarketCap 的事件屬於近期加密產業針對性釣魚詐騙升級趨勢之一。根據 Chainalysis,2023 年因釣魚及社交工程手法造成的加密損失已逾十億美元,且預計到 2025 年針對主流平台弱點的攻擊將持續增加。
Web3 資安專家表示,這類攻擊常由內容傳遞網路(CDN)、外掛或廣告層遭入侵開始。惡意腳本一旦植入即可彈出連接錢包、提交非法授權,或將用戶導向假介面。
針對本案,CoinMarketCap 用戶應更加警覺,謹慎核對所有錢包彈窗。專家建議僅使用官方錢包應用、停用自動代幣授權功能,並運用 revoke.cash 等工具定期審查錢包權限。
MetaMask 及其他主流錢包現已強化瀏覽器警告、AI 偵測等預防機制,主動攔截類似攻擊。
同時,加密產業也持續推動更高安全標準及數據平台負責任揭露的流程。自 2020 年被幣安(Binance)收購以來,CoinMarketCap 更受關注,必須維護全球最高流量加密數據平台的基礎設施水準。
產業回應
事件引起社群熱議,許多意見呼籲 CoinMarketCap 應加強公開透明,明確說明攻擊原因及未來防範措施。
安全研究者也強調產業間合作共享新型威脅情報的重要性。在去中心化的網絡,安全不僅靠用戶,自身平台與基礎建設供應商也需及時偵測、通報與圍堵威脅。
也有觀察者指出高能見度攻擊事件對整體加密市場的聲譽構成額外風險,尤其當主流普及和監管壓力逐步升高。
CoinMarketCap 這次能迅速移除釣魚彈窗,展現即時危機反應,但事件同時顯示產業網站基礎設施潛在的持續性安全漏洞。隨調查深入,用戶及平台都應重視主動防護、快速應對流程及用戶教育,以避免資產損失及維護信任。