CoinMarketCapの正規サイト上に悪質なウォレット接続ポップアップが出現
ユーザーが意図せず詐欺ウォレットに接続するリスクが発生。
同サイトのセキュリティに対する信頼が揺らぐ。
MetaMaskやPhantomなどが「危険なサイト」としてCoinMarketCapを警告
主にEVM系・Solana系ユーザーへの心理的インパクトが大きい。
Web3エコシステム全体の信頼性低下の引き金に。
攻撃経路は画像経由のJavaScriptコード挿入(サプライチェーン型)
フロントエンドのサードパーティ要素が狙われた可能性。
見た目では安全に見えるサイトも危険になり得る典型例。
影響が想定されるコインとしてBNB、ETH、SOLなどが挙げられる
ブランド・ウォレット・チェーン特性によって被害感受性が異なる。
一部セキュリティ関連トークンに逆張り的な注目も。
ユーザーへの提言:ウォレット接続の際は「誰に・何のために」確認を徹底
revoke.cashなどの権限管理ツールを日常的に活用すべき。
自己管理リテラシーの重要性が改めて浮き彫りに。
Contents
事件の概要(ニュース報道まとめ)
- 米大手仮想通貨情報サイト「CoinMarketCap」のウェブサイトに、ユーザーにウォレットを「Verify Wallet(ウォレット確認)」するよう促す偽のポップアップが一時表示されました。
- MetaMaskやPhantomなどの人気ウォレット拡張機能もこのドメインを「不安全」と警告する対応を取りました。
CoinMarketCapの公式アナウンス
- 6月20日にX(旧Twitter)上で、「悪意あるウォレット確認ポップアップがサイトに出現している」と警告。合わせて、「ウォレットを接続しないように」と発表しました。
- 同日中に悪質なコードは削除され、さらにセキュリティ強化に向けた調査および対策を続けていると説明。
技術的な攻撃の実態
- 弊社の調査では、悪意のあるコードはCoinMarketCapサイトのフロントエンド—具体的には画像ファイルを経由して挿入された可能性があることが確認されています。
- Atomic WalletやExodusと関連し、npmモジュール経由での攻撃が報告されているとの見方もあり、ウォレットアドレススワップ(送金時のアドレス書き換え)を意図した可能性がある旨も報じられています。
背景・過去に類似した事件
- 実はCoinMarketCapは2021年10月にも、同社ユーザーのメールアドレスが約310万件流出し、ハッカーによって悪用された過去があります(Have I Been Pwnedにて確認)。
- 今回の事件も含め、信頼性の高いプラットフォームであっても、完全な安全性は保証されない実例と言えるでしょう。
ユーザーがとるべき対応
- 不審なポップアップには一切反応しない
- ウォレット接続を求める画面には慎重になる
- MetaMaskやPhantomなど、信頼できるウォレット拡張が警告を出した場合は従う
- 公式ソース以外からウォレット接続を行わない
- 被害に備え、トランザクション承認履歴をチェックし、不要な権限は即時取り消す(例:revoke.cash)
想定される影響コイン一覧
| コイン | 影響度 | 理由 |
|---|---|---|
| BNB (Binance Coin) | ★★★★★(高) | CoinMarketCapはBinanceの子会社であり、信頼性低下はBNBのブランドイメージに直接影響。セキュリティ懸念がBNB売却のトリガーになる可能性。 |
| ETH (Ethereum) | ★★★★☆(中〜高) | MetaMaskやPhantomなど、EVM系ウォレットが攻撃対象だったため、Ethereum関連のDAppユーザーに心理的影響。利用者のアクティビティ減退もあり得る。 |
| MATIC (Polygon) | ★★★☆☆(中) | EVMチェーンの一部として同様の影響を受ける。特にNFT/DeFiユーザーはウォレット接続に慎重になるため、アクティビティ低下の可能性。 |
| SOL (Solana) | ★★★★☆(中〜高) | PhantomはSolana基盤の代表的ウォレット。今回のようなポップアップがSolana系ウォレットにも悪影響を及ぼしたため、Solana系DAppへの接続敬遠の恐れ。 |
| TWT (Trust Wallet Token) | ★★★☆☆(中) | Trust Walletのようなセルフカストディ系ウォレットの需要が短期的に高まる一方で、同様の攻撃が起きるリスクを警戒される可能性あり。利用者心理が揺れる。 |
| SAFE (Gnosis Safe) | ★★☆☆☆(低〜中) | セキュリティ意識の高いユーザーがマルチシグウォレットに移行する動きも想定されるが、影響は限定的。投機的価格へのインパクトは小。 |
考察:Web3ユーザーに求められる「セルフディフェンス」
今回の事件は、改めて「自衛」が必要な時代であることを示しています。特に、CoinMarketCap のような大手サイトであっても利用者を騙す高度な仕掛けが可能であり、私たちの「警戒心」と「知識」が常に試されている時代です。
- 悪意あるコードは広告枠やクラウド配信経路など、ユーザーの目に見えにくい場所から侵入します。
- 一見安心なUIでも、「権限承認の内容」をしっかり確認し、「必要な操作なのか」を即座に判断するスキルが不可欠です。
Web3は“透明性”と“自己主権”が大きな魅力ですが、その反面、自らの暗号資産を守るためのリテラシーもユーザー側に要求されます。そしてプラットフォーム側も、信頼維持の観点から改めてセキュリティ体制を見直す必要に迫られています。
CoinMarketCapに表示された悪質なウォレット確認ダイアログは、即座に削除されましたが、被害の可能性も否定できません。今後もWeb3領域では「見た目だけで安心しない」姿勢が求められます。
- ユーザーはウォレット接続前に「本当に安全か」を再確認し、
- 運営側は定期的な監査と透明性のある対応を進め、
- 業界全体として「情報共有と迅速な警告」を基本体制とすることが急務です。
仮想通貨バイナンスコイン(BNB)は以下の取引所で購入出来ます!
何かわからないことがありましたら、クリバズ公式LINEへ質問をどうぞ!
クリプトバズニュース公式LINE=クリバズ公式LINEはこちら
Leave a Reply