CoinMarketCap網站遭惡意入侵　用戶錢包連接風險再引發關注

2025年6月21日早上，加密社群最常使用的幣價追蹤平台CoinMarketCap，罕見發布一則有關安全事故的公告，證實自家網站遭入侵嵌入惡意程式碼。

平台表示，部分使用者在訪問網站期間遇到偽造的彈出視窗，內容要求用戶「驗證錢包」，實際上卻是試圖引誘用戶連接加密錢包的釣魚手法。

官方隨後緊急處理，並在3小時內宣稱移除所有相關惡意程式碼，目前網站已恢復正常運作。

這類針對用戶端操作介面的攻擊並非首次出現，但針對像CoinMarketCap這樣日活數百萬的主要平台，仍然令市場感到震驚。

根據初步披露，駭客是透過平台中一個稱為「旋轉塗鴉」的後端功能進行攻擊，將有害JavaScript程式碼注入前端，導致部分用戶網頁載入後自動彈出錢包授權視窗。

這種假冒介面乍看之下與一般連接錢包流程無異，但一旦用戶誤信而點擊連接，將有可能將資金暴露於未授權轉移的高風險之中。

這起事件最早由幾位社群用戶在Twitter與Reddit上提出警告，隨後迅速引起廣泛轉發與討論。

CoinMarketCap在確認問題存在後也同步透過官方社群發布風險提醒，呼籲所有用戶「暫時不要將錢包連接到本網站」，並強調若曾與平台互動，應立即檢查授權狀態並移除任何不明存取權限。

值得關注的是，此次安全事件也觸發了其他相關工具與錢包平台的連鎖反應。

以太坊主流錢包MetaMask隨即對CoinMarketCap的可疑授權行為進行封鎖，並在其安全黑名單中新增識別標記，防止用戶在不知情情況下完成授權。

MetaMask官方更罕見地發表強烈建議，要求用戶暫時避免將錢包連接到包括CoinMarketCap在內的所有第三方追蹤工具，直到確認該網站完全排除風險。

再次凸顯Web3世界的結構性風險

CoinMarketCap作為幣圈最具指標性的平台之一，近年雖遭到不少新興鏈上工具挑戰，但仍是投資者查詢價格、市值與項目資訊的首選。

此次事件雖在短時間內被控制，但也再次凸顯Web3世界的結構性風險。

過去幾個月，已有多個大型網站發生第三方腳本漏洞、介面偽裝或API竄改等攻擊模式，範圍涵蓋DeFi介面、鏈上資產聚合器甚至是區塊瀏覽器。

除了技術層面的應對之外，更重要的是提醒使用者在面對連接錢包這類動作時，需培養更高的風險意識。

任何自動彈出的錢包驗證訊息、沒有預警的MetaMask彈窗、要求授權的網站鏈接，都應該引起用戶警覺。

尤其是使用集中化價格查詢平台時，即使網站本身看似可信，也不能排除遭後門植入或介面竄改的可能性。

目前CoinMarketCap已聲明網站系統恢復正常，但也承諾會進一步強化前端與後端的防禦措施，同時加快內部安全審查機制。

對於用戶來說，則應時時回到「最小信任」原則，只在必要時才授權錢包連結，並定期檢查所有已授權合約與網站名單。

結論：安全問題無所不在，Web3用戶應更謹慎操作

此次CoinMarketCap事件，再次提醒所有用戶，加密世界中的風險不只是來自價格波動或項目失敗，更來自於瀏覽器、網站、API與介面之間的微小破口。

Web3的開放性與彈性是一大優勢，但也意味著攻擊者能有更多滲透空間。

用戶應主動培養資安意識，不輕信任何彈出介面、不貪圖便利省略檢查，真正做到「錢包連接，心中要連一層防火牆」。

未來即便安全事件仍會發生，只要用戶警覺性足夠，也能有效防止最壞的結果發生。

Peter Chow

周斌 Peter Chow 资深传媒人、编剧/ 演员/监製、财经作者、政治评论员、投资者、Youtuber、小说作者，作品同时在香港和中国内地发表。 先后撰写在各媒体专栏《香港股巿分析》、《专业投资者日记》等，评论股市消息作「质检」等把关工作。他的专栏多年来吸引不少政商界人士及读者追看，有「街坊股神」称誉。