加密資料提供商CoinMarketCap已從短暫的安全漏洞中恢復。這一事件使網站訪問者面臨一個誘導他們連線加密錢包的欺騙性彈窗。
6月20日的事件中斷了平臺的前端介面幾個小時,直到團隊採取糾正措施。
CoinMarketCap的漏洞追溯至惡意塗鴉
據公司稱,該漏洞涉及其主頁上出現意外的彈窗,指示使用者驗證錢包以訪問完整的賬戶功能。
"我們已知悉在我們網站上出現了一個惡意彈窗,提示使用者'驗證錢包'。請勿連線您的錢包,"該資料聚合商警告。
儘管該訊息模仿了合法功能,但安全分析師迅速警告稱該請求是惡意的,很可能旨在危及使用者錢包。
CoinMarketCap主頁上的惡意彈窗訊息。來源:X/Jameson Lopp在後續更新中,CoinMarketCap透露,問題源於嵌入在其主頁上的塗鴉影象。該影象連結到一個外部呼叫,觸發了未經授權的JavaScript,導致可疑的錢包提示。
"在2025年6月20日,我們的安全團隊發現了與主頁上顯示的塗鴉影象相關的漏洞。這個塗鴉影象包含一個連結,透過API呼叫觸發了惡意程式碼,導致部分使用者訪問我們主頁時出現意外彈窗,"CoinMarketCap解釋道。
調查人員發現,該漏洞可能源於一個被入侵的第三方服務,很可能是一個廣告網路。該服務將惡意程式碼注入平臺的顯示系統。
與此同時,CoinMarketCap澄清,是用於提供內容的外部依賴項(而非其內部基礎設施)引起了這個問題。
該平臺確認已移除所有受影響的指令碼和資源,並引入了新的保護措施以防止類似的漏洞。它還向使用者保證情況已得到控制,訪問網站現已安全。
"我們正在積極監控使用者反饋,我們的支援團隊隨時準備確保所有詢問得到及時處理。我們致力於保持最高的安全和透明標準,感謝我們社群的持續信任,"它補充道。
由幣安擁有的CoinMarketCap繼續為數百萬追蹤實時加密價格和市場資料的使用者提供服務。
然而,這一事件提醒我們,即使是最成熟的平臺也必須主動保護使用者免受日益增長的威脅。
因此,安全專家敦促加密錢包使用者始終保持謹慎,持續審查最近的活動,並避免連線到未知的去中心化應用或彈窗。
到目前為止,今年駭客已經積極針對甚至最負盛名的平臺的漏洞。這些漏洞總共導致超過20億美元的資產被盜,包括在Bybit上發生的14億美元的大規模漏洞。
