CoinMarketCap惊现钓鱼弹窗：官方火速修复，你的钱包安全吗？

CoinMarketCap 网站 6 月 21 日凌晨遭植入恶意程式码，钓鱼弹窗短暂上线三小时即被移除，再度凸显用户自我资安防范意识的重要性。
（前情提要：CoinMarketCap推出CMC Launch平台，瞄准Pre-TGE：首发项目Aster两步骤有望领$AST）

月流量超过三亿的币价龙头网站 CoinMarketCap 网站 6 月 21 日凌晨遭植入恶意程式码，用户回报在浏览网站时跳出不明「登入钱包」视窗，美东时间 6 月 21 日，平台证实前端被插入恶意程式码，部分浏览者遭到钓鱼视窗诱骗连接钱包。开发团队在三小时内清除程式码并恢复服务，同步展开取证调查：

CoinMarketCap 已成功移除恶意程式码，确认网站已恢复正常，同时正进行彻底的取证分析，以了解事件的根本原因并防止未来再次发生类似事件。

事件再度提醒投资人，即使是最常使用的加密资料网站，也可能成为骇客埋伏点，防范意识实质更为重要。

Doodles 动画成破口

X 平台用户 @userA 于 21 日凌晨发文指出，CoinMarketCap 出现「Verify Wallet」弹窗，要求连接加密钱包。CoinMarketCap 随后在 X 平台公告，恶意程式码已移除，整体停留时间不到三小时，并将完整还原攻击路径，以确定是否有额外风险。

根据链上分析师所述，漏洞落在首页 Doodles JSON 动画，骇客把名为「CoinmarketCLAP」的 JavaScript 隐藏其中，当浏览器载入页面时自动执行并导向钱包抽水器网站 Impersonator。页面伪装成 MetaMask 或 Phantom 介面，诱导按下「Connect Wallet」并允许 ERC-20 代币无限授权。一旦授权生效，USDT、USDC 等代币立即被转走。安全社群追踪到攻击钱包位址：0x000025b5ab50f8d9f987feb52eee7479e34a0000。

用户冲击与即时防护

点击弹窗并授权交易的人都可能受损。主流钱包如 MetaMask 与 Phantom 内建即时风险提示，成功阻挡多数连线。不过，安全人员仍建议曾操作弹窗的使用者立刻到 Revoke.cash 撤销疑似授权，并避免在浏览器中点击未知弹窗或连结。

CoinMarketCap 2021 年曾爆出逾 300 万笔电邮外流，近期全球亦传出 160 亿笔帐密外泄，频繁攻击显示，平台方、钱包服务商与使用者需要更紧密合作，透过外部安全审计与即时情报分享，把风险降到最低，三小时止血容易，信任恢复则是一场长跑。

而对用户来说，即使是低风险与极度信任的网站，也能出现类似的问题，显示用户在使用类似服务时，资安意识可能是最为重要的，遇到可疑问题是，应立即察逊是否为官方提供之服务，否则应主动拒绝，以免受骗上当。