駭客利用CoinMarketCap前端系統的漏洞,使用看似無害的塗鴉影象注入惡意程式碼,在網站上觸發虛假錢包驗證彈窗。
經CoinMarketCap確認的這次入侵,使用其後端API傳遞被篡改的JSON有效載荷,根據區塊鏈安全公司Coinspect Security的說法,將JavaScript嵌入到主頁中。
該指令碼導致未經授權的提示要求使用者"驗證錢包",這是一種釣魚策略,旨在誘騙訪問者交出其加密資產的訪問許可權。
這家區塊鏈安全公司追蹤攻擊源頭是平臺的輪換"塗鴉"功能,這使攻擊者能夠在不改變網站核心基礎架構的情況下嵌入惡意程式碼。
彈窗在被CoinMarketCap團隊移除之前存在了很短的一段時間。
"發現後,我們立即採取行動移除有問題的內容,"CoinMarketCap在社交媒體上釋出的宣告中表示。"已實施全面措施以隔離和緩解這一問題。"
CoinMarketCap尚未透露遇到彈窗的使用者數量,也未說明是否有錢包被入侵。
