币圈子(120btc.CoM)：月流量超过三亿的币价龙头网站CoinMarketCap网站6月21日凌晨遭植入恶意代码，用户回报在浏览网站时跳出不明「登入钱包」弹窗，美东时间6月21日，平台证实前端被插入恶意代码，部分浏览者遭到钓鱼弹窗诱骗连接钱包。开发团队在三小时内清除代码并恢复服务，同步展开取证调查：CoinMarketCap已成功移除恶意代码，确认网站已恢复正常，同时正进行彻底的取证分析，以了解事件的根本原因并防止未来再次发生类似事件。

事件再度提醒投资人，即使是最常使用的加密资料网站，也可能成为黑客埋伏点，防范意识实质更为重要。

CoinMarketCap是大众最常使用的币价网站

Doodles动画成破口

X平台用户@userA于21日凌晨发文指出，CoinMarketCap出现「Verify Wallet」弹窗，要求连接加密钱包。CoinMarketCap随后在X平台公告，恶意代码已移除，整体停留时间不到三小时，并将完整还原攻击路径，以确定是否有额外风险。

根据链上分析师所述，漏洞落在首页Doodles JSON动画，黑客把名为「CoinmarketCLAP」的JavaScript隐藏其中，当浏览器载入页面时自动执行并导向钱包抽水器网站Impersonator。页面伪装成MetaMask或Phantom介面，诱导按下「Connect Wallet」并允许ERC-20代币无限授权。一旦授权生效，USDT、USDC等代币立即被转走。安全社群追踪到攻击钱包位址：0x000025b5ab50f8d9f987feb52eee7479e34a0000。

用户冲击与即时防护

点击弹窗并授权交易的人都可能受损。主流钱包如MetaMask与Phantom内建即时风险提示，成功阻挡多数连线。不过，安全人员仍建议曾操作弹窗的使用者立刻到Revoke.cash撤销疑似授权，并避免在浏览器中点击未知弹窗或连接。

CoinMarketCap2021年曾爆出逾300万笔电邮外流，近期全球亦传出160亿笔帐密外泄，频繁攻击显示，平台方、钱包服务商与使用者需要更紧密合作，透过外部安全审计与即时情报分享，把风险降到最低，三小时止血容易，信任恢复则是一场长跑。

而对用户来说，即使是低风险与极度信任的网站，也能出现类似的问题，显示用户在使用类似服务时，资安意识可能是最为重要的，遇到可疑问题是，应立即察逊是否为官方提供之服务，否则应主动拒绝，以免受骗上当。