资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
加密媒体巨头遭黑客攻击 恶意弹窗致用户钱包被盗
知名区块链媒体Cointelegraph遭遇严重安全攻击,黑客植入恶意代码将用户重定向至虚假空投弹窗,导致不知情用户的钱包资产被窃取。2025年6月23日发生的这起事件,凸显出钱包盗取骗局正变得愈发复杂,Web3媒体领域亟需加强安全防护。
攻击如何突破防线
黑客通过入侵Cointelegraph的广告系统,向网站前端注入恶意JavaScript代码。与传统钓鱼邮件或社交媒体私信不同,这次攻击利用的是受信任的新闻门户,直接在Cointelegraph.com上弹出极具迷惑性的窗口。
弹窗宣称用户"随机抽中"参与新代币空投,作为"公平启动计划"的一部分可获得50,000枚"CTG"代币(价值超5,000美元)。界面仿冒真实空投活动,包含Cointelegraph品牌标识、倒计时器以及连接加密钱包的请求。
为使骗局更逼真,诈骗者还虚构了CertiK审计报告和代币价格指标。由于恶意代码通过Cointelegraph的广告合作伙伴投放,访问者几乎无法辨别其与真实推广活动的区别。一旦用户连接钱包,脚本就会自动触发授权转账,让黑客得以快速无声地转移资金。
已确认的链上损失与攻击规模
Scam Sniffer和SlowMist等区块链安全公司迅速发出警报并分析恶意代码。虽然完整损失仍在统计中,但链上监测证实多个钱包在攻击生效几分钟内就被清空。各大公链和交易所均不存在任何CTG代币,也没有Cointelegraph官方空投的迹象。
值得注意的是,这次攻击几乎完全复制了几天前CoinMarketCap遭遇的入侵手法——都是通过前端推广框注入恶意JavaScript代码。两起事件中,攻击者均瞄准平台的广告投放系统,绕过关键基础设施安全防护,利用用户对头部加密新闻网站的信任实施犯罪。
Web3媒体为何成为新靶标
这起攻击标志着新型威胁的出现:诈骗者不再局限于社交媒体或电子邮件钓鱼,转而劫持用户获取加密资讯的核心渠道。基于广告的攻击尤其危险,因为它们完美融入用户体验,使资深读者也难以防范。
Cointelegraph事后删除了恶意代码,在X平台发布警告,并承诺加强安全管控。但该事件应当为所有Web3媒体敲响警钟:第三方广告系统和分析脚本已成为高价值目标,即使是受信任的网站也可能被攻陷。
Web3媒体必备安全措施
为防止类似攻击,加密媒体必须:
测试所有第三方广告和分析代码的漏洞;
对未授权脚本变更实施实时追踪和警报;
采用严格的内容安全策略(CSP)拦截非信任脚本;
定期进行模拟广告攻击和前端攻击的渗透测试;
教育用户切勿在弹窗中连接钱包或输入助记词——即使出现在可信网站上。
用户自我保护指南
对于用户而言,保持警惕至关重要:永远不要在弹窗中关联钱包或输入助记词,哪怕是可信网站;
始终通过官方渠道验证空投真实性,交叉核对代币合约地址;
使用Scam Sniffer等浏览器扩展或MetaMask反钓鱼警告功能识别恶意网站和脚本。
事件启示
Cointelegraph被黑事件残酷地提醒我们:最安全的加密平台也可能沦为攻击媒介。随着钱包盗取骗局日益精密,媒体和用户都必须建立新的安全习惯——否则就会成为Web3威胁演变中的下一个受害者。
