看币价也暴雷？CoinMarketCap弹出「登入钱包」钓鱼视窗，官方急回：恶意码已清除

月 流量超过三亿的币价龙头网站 CoinMarketCap 网站 6 月 21 日凌晨遭植入恶意程式码，用户回报在浏览网站时跳出不明「登入钱包」视窗，美东时间 6 月 21 日，平台证实前端被插入恶意程式码，部分浏览者遭到钓鱼视窗诱骗连接钱包。𫔭发团队在三小时内清除程式码并恢复服务，同步展𫔭取证调查：

CoinMarketCap 已成功移除恶意程式码，确认网站已恢复正常，同时正进行彻底的取证分析，以了解事件的根本原因并防止未来再次发生类似事件。

事件再度提醒投资人，即使是最常使用的加密资料网站，也可能成为骇客埋伏点，防范意识实质更为重要。

Doodles 动画成破口

X 平台用户 @userA 于 21 日凌晨发文指出，CoinMarketCap 出现「Verify Wallet」弹窗，要求连接加密钱包。CoinMarketCap 随后在 X 平台公告，恶意程式码已移除，整体停留时间不到三小时，并将完整还原攻击路径，以确定是否有额外风险。

根据链上分析师 所述 ，漏洞落在首页 Doodles JSON 动画，骇客把名为「CoinmarketCLAP」的 JavaScript 隐藏其中，当浏览器载入页面时自动执行并导向钱包抽水器网站 。页面偽装成 MetaMask 或 Phantom 介面，诱导按下「Connect Wallet」并允许 ERC-20 代币无限授权。一旦授权生效，USDT、USDC 等代币立即被转走。安全社群追踪到攻击钱包位址：0x000025b5ab50f8d9f987feb52eee7479e34a0000。

用户冲击与即时防护

点击弹窗并授权交易的人都可能受损。主流钱包如 MetaMask 与 Phantom 内建即时风险提示，成功阻挡多数连缐。不过，安全人员仍建议曾操作弹窗的使用者立刻到 Revoke.cash 撤销疑似授权，并避免在浏览器中点击未知弹窗或连结。

CoinMarketCap 2021 年曾爆出逾 300 万笔电邮外流，近期全球亦传出 160 亿笔帐密外洩 ，频繁攻击显示，平台方、钱包服务商与使用者需要更紧密合作，透过外部安全审计与即时情报分享，把风险降到最低，三小时止血容易，信任恢复则是一场长跑。

而对用户来说，即使是低风险与极度信任的网站，也能出现类似的问题，显示用户在使用类似服务时，资安意识可能是最为重要的，遇到可疑问题是，应立即察逊是否为官方提供之服务，否则应主动拒绝，以免受骗上当。

?相关报导?

抖音贩售冷钱包「遭窃690万美元」，慢雾分析：生成私钥途中外洩

6.9万名Coinbase用户资料外洩》官方：最高赔偿4亿美元、拒绝支付骇客赎金

以色列骇客攻击伊朗交易所Nobitex ，8300 万美元遭盗「靓号地址」曝光政治意图