加密数据提供商CoinMarketCap已从短暂的安全漏洞中恢复。这一事件使网站访问者面临一个诱导他们连接加密钱包的欺骗性弹窗。
6月20日的事件中断了平台的前端界面几个小时,直到团队采取纠正措施。
CoinMarketCap的漏洞追溯至恶意涂鸦
据公司称,该漏洞涉及其主页上出现意外的弹窗,指示用户验证钱包以访问完整的账户功能。
"我们已知悉在我们网站上出现了一个恶意弹窗,提示用户'验证钱包'。请勿连接您的钱包,"该数据聚合商警告。
尽管该消息模仿了合法功能,但安全分析师迅速警告称该请求是恶意的,很可能旨在危及用户钱包。
CoinMarketCap主页上的恶意弹窗消息。来源:X/Jameson Lopp在后续更新中,CoinMarketCap透露,问题源于嵌入在其主页上的涂鸦图像。该图像链接到一个外部调用,触发了未经授权的JavaScript,导致可疑的钱包提示。
"在2025年6月20日,我们的安全团队发现了与主页上显示的涂鸦图像相关的漏洞。这个涂鸦图像包含一个链接,通过API调用触发了恶意代码,导致部分用户访问我们主页时出现意外弹窗,"CoinMarketCap解释道。
调查人员发现,该漏洞可能源于一个被入侵的第三方服务,很可能是一个广告网络。该服务将恶意代码注入平台的显示系统。
与此同时,CoinMarketCap澄清,是用于提供内容的外部依赖项(而非其内部基础设施)引起了这个问题。
该平台确认已移除所有受影响的脚本和资源,并引入了新的保护措施以防止类似的漏洞。它还向用户保证情况已得到控制,访问网站现已安全。
"我们正在积极监控用户反馈,我们的支持团队随时准备确保所有询问得到及时处理。我们致力于保持最高的安全和透明标准,感谢我们社区的持续信任,"它补充道。
由币安拥有的CoinMarketCap继续为数百万追踪实时加密价格和市场数据的用户提供服务。
然而,这一事件提醒我们,即使是最成熟的平台也必须主动保护用户免受日益增长的威胁。
因此,安全专家敦促加密钱包用户始终保持谨慎,持续审查最近的活动,并避免连接到未知的去中心化应用或弹窗。
到目前为止,今年黑客已经积极针对甚至最负盛名的平台的漏洞。这些漏洞总共导致超过20亿美元的资产被盗,包括在Bybit上发生的14亿美元的大规模漏洞。
