看幣價也暴雷？CoinMarketCap彈出「登入錢包」釣魚視窗，官方急回：惡意碼已清除

CoinMarketCap 網站 6 月 21 日凌晨遭植入惡意程式碼，釣魚彈窗短暫上線三小時即被移除，再度凸顯用戶自我資安防範意識的重要性。
（前情提要： CoinMarketCap推出CMC Launch平台，瞄準Pre-TGE：首發項目Aster兩步驟有望領$AST ）
（背景補充： Web3加密安全資料報告：操作需謹慎，小心收益被釣魚 ）

月 流量超過三億的幣價龍頭網站 CoinMarketCap 網站 6 月 21 日凌晨遭植入惡意程式碼，用戶回報在瀏覽網站時跳出不明「登入錢包」視窗，美東時間 6 月 21 日，平台證實前端被插入惡意程式碼，部分瀏覽者遭到釣魚視窗誘騙連接錢包。開發團隊在三小時內清除程式碼並恢復服務，同步展開取證調查：

CoinMarketCap 已成功移除惡意程式碼，確認網站已恢復正常，同時正進行徹底的取證分析，以了解事件的根本原因並防止未來再次發生類似事件。

事件再度提醒投資人，即使是最常使用的加密資料網站，也可能成為駭客埋伏點，防範意識實質更為重要。

Doodles 動畫成破口

X 平台用戶 @userA 於 21 日凌晨發文指出，CoinMarketCap 出現「Verify Wallet」彈窗，要求連接加密錢包。CoinMarketCap 隨後在 X 平台公告，惡意程式碼已移除，整體停留時間不到三小時，並將完整還原攻擊路徑，以確定是否有額外風險。

根據鏈上分析師 所述 ，漏洞落在首頁 Doodles JSON 動畫，駭客把名為「CoinmarketCLAP」的 JavaScript 隱藏其中，當瀏覽器載入頁面時自動執行並導向錢包抽水器網站 Impersonator 。頁面偽裝成 MetaMask 或 Phantom 介面，誘導按下「Connect Wallet」並允許 ERC-20 代幣無限授權。一旦授權生效，USDT、USDC 等代幣立即被轉走。安全社群追蹤到攻擊錢包位址：0x000025b5ab50f8d9f987feb52eee7479e34a0000。

用戶衝擊與即時防護

點擊彈窗並授權交易的人都可能受損。主流錢包如 MetaMask 與 Phantom 內建即時風險提示，成功阻擋多數連線。不過，安全人員仍建議曾操作彈窗的使用者立刻到 Revoke.cash 撤銷疑似授權，並避免在瀏覽器中點擊未知彈窗或連結。

CoinMarketCap 2021 年曾爆出逾 300 萬筆電郵外流，近期全球亦傳出 160 億筆帳密外洩 ，頻繁攻擊顯示，平台方、錢包服務商與使用者需要更緊密合作，透過外部安全審計與即時情報分享，把風險降到最低，三小時止血容易，信任恢復則是一場長跑。

而對用戶來說，即使是低風險與極度信任的網站，也能出現類似的問題，顯示用戶在使用類似服務時，資安意識可能是最為重要的，遇到可疑問題是，應立即察遜是否為官方提供之服務，否則應主動拒絕，以免受騙上當。

?相關報導?

抖音販售冷錢包「遭竊690萬美元」，慢霧分析：生成私鑰途中外洩

6.9萬名Coinbase用戶資料外洩》官方：最高賠償4億美元、拒絕支付駭客贖金

以色列駭客攻擊伊朗交易所Nobitex ，8300 萬美元遭盜「靚號地址」曝光政治意圖