2023年,根據Chainalysis的數據,黑客通過攻擊交易所和DeFi協議竊取了超過17億美元的加密資產。這些損失的很大一部分影響了那些未能啟用基本安全層的用戶,例如雙重認證、將資金提取到自託管錢包以及主要平台上免費提供的安全配置。問題很少出現在 交易所本身。在大多數情況下,這是用戶在開設和操作賬戶時所做的決定(或未能做出的決定)的結果。
快速答案:加密交易所安全是指設計用於保護您的賬戶和資金免受未經授權存取的一套機制。要保護您的資產:(1) 通過認證器應用程式啟用 2FA,切勿通過短信;(2) 如果您不計劃短期交易,請將資金轉移到冷儲存;(3) 配置提取地址白名單;(4) 使用獨特的密碼,並在登錄前始終驗證域名。
什麼是加密交易所安全以及為什麼對巴西交易者很重要
當您將加密貨幣存入交易所時,您將資產的託管權委託給第三方。與傳統銀行不同,傳統銀行的存款保險制度可能在破產情況下部分覆蓋損失,巴西加密市場仍在沒有對交易所持有資金的等效保護的情況下運作。
交易所安全涉及兩個不同的層面:
平台安全 -交易所處理的方面:儲備冷儲存、獨立審計、機構保險覆蓋、緊急資金和基礎設施架構。定期發佈 儲備證明的平台提供了額外的可驗證透明度層。
賬戶安全 - 您個人控制的:2FA、密碼、授權設備、提取白名單和登錄習慣。
大多數成功的攻擊都利用第二層。網絡釣魚、SIM卡交換攻擊和憑證填充比直接破壞主要交易所基礎設施的攻擊向量更常見。理解這一點完全改變了方法:期望平台「處理一切」的交易者往往比他們意識到的更暴露。
2FA在交易所的工作原理:類型和保護級別
2FA(雙重認證)在您的密碼之外添加了第二個驗證層。即使有人獲得了您的密碼,他們仍然無法在沒有第二個認證因子的情況下存取賬戶。
巴西交易所提供三種主要類型:
基於短信的2FA
最容易配置的選項,也是最脆弱的。驗證碼會發送到註冊的手機號碼。問題是SIM卡交換攻擊允許罪犯說服電信供應商將您的號碼轉移到他們控制的SIM卡上。一旦發生這種情況,他們就可以接收您的驗證碼。
對於巴西交易者來說,這特別相關:根據2022年GSMA報告,巴西在SIM卡克隆詐騙率最高的國家中排名靠前。
認證器應用程式2FA(TOTP)
Google Authenticator、Authy和Microsoft Authenticator等應用程式生成每30秒刷新的6位TOTP(基於時間的一次性密碼)代碼。這些代碼在設備本地生成,意味著過程中不涉及電信運營商。這有效地消除了SIM卡交換攻擊向量。
這是持有有意義餘額的任何賬戶的最低推薦安全標準。查看 在BingX啟用2FA的逐步指南。
實體安全密鑰(硬件令牌 / FIDO2)
來源:Yubico
YubiKey和Google Titan Key等設備作為實體認證器運行。您必須連接或輕觸設備以確認存取。這代表目前可用的最高保護級別,並且對遠程網絡釣魚攻擊幾乎免疫,因為設備在響應前會驗證網站域名。
目前巴西只有有限數量的交易所支持這種方法,但採用率正在穩步增加。
如何計算您的交易所風險暴露水平
在決定在哪裡存儲您的資產之前,值得進行簡單的風險暴露分析:
交易所風險暴露公式:
風險暴露(%)= (交易所餘額 / 總加密持有量)× 100
實際例子:
一位交易者在交易所持有50,000雷亞爾的 BTC,在自託管硬件錢包中持有30,000雷亞爾的 ETH。
風險暴露 = (50,000 / 80,000)× 100 = 62.5%
這意味著交易者加密投資組合的62.5%取決於交易所的安全性。對於活躍交易目的,將20%到30%的持有量保留在交易所通常是合理的。對於簡單持有資產而不積極交易的投資者,理想的方法是在平台上保持儘可能低的餘額。
風險參考表:
|
交易所風險暴露 |
風險概況 |
備註 |
|
最多20% |
低風險 |
適合長期持有者 |
|
20%到50% |
中等風險 |
適合活躍交易者 |
|
50%到80% |
高風險 |
只有在強大的2FA和提取白名單下才合理 |
|
超過80% |
嚴重風險 |
任何情況下都不建議 |
冷儲存與熱錢包:何時使用每種
冷儲存一詞指的是任何離線存儲加密資產的方法。網絡暴露越少,攻擊面就越小。
熱錢包
在交易所或連接到瀏覽器的 Web3錢包中持有的資金,如 MetaMask或Phantom,被視為熱錢包。它們提供即時存取並對頻繁交易者至關重要,但它們持續暴露於在線攻擊向量。
冷儲存:三個主要選項
硬件錢包 - 實體設備,如 Ledger Nano X、Trezor Model T和Coldcard。私鑰永遠不會離開設備。要簽署交易,您必須實際擁有硬件錢包。平均成本:400至1,500雷亞爾。查看 市場上最佳硬件錢包再做選擇。
紙錢包 - 印在紙上的私鑰。雖然功能正常,但很脆弱:紙張可能劣化、意外拍照、被盜或被火災或水損毀。作為主要儲存方法沒有意義,只適合作為輔助備份。
氣隙錢包 - 從未連接到互聯網的電腦或設備,本地安裝錢包軟件。它提供與硬件錢包相當的安全級別,但操作複雜性顯著更高。
對於積極交易同時維持長期儲備的巴西交易者,最實用的工作流程是僅將每週交易活動所需的資本保留在交易所,並將其餘部分轉移到硬件錢包。在決定哪種模式最適合您的策略之前,了解 託管和非託管錢包之間的區別。
平台安全工具:詳細比較
BingX
BingX平台通過用戶控制面板提供一套強大的安全控制,可直接存取。對於超過特定門檻的提取,基於認證器應用程式的2FA是強制性的,即使對於不太注意的用戶也強制執行最低安全層。
該平台提供提取地址白名單,即使賬戶被盜用,也會阻止提取到任何未預先批准的地址。添加新地址後的冷卻期(通常為24小時)為用戶在檢測到可疑活動時創建了響應窗口以取消操作。
BingX的反網絡釣魚系統允許用戶設置個人化代碼,該代碼出現在所有官方平台電子郵件中。任何缺少此代碼的電子郵件都是欺詐性的。對於接收大量電子郵件的交易者,此功能在識別網絡釣魚嘗試方面特別有效。
BingX還提供詳細的登錄日誌,包括IP、地理位置和設備信息,以及通過電子郵件和應用程式對任何登錄或提取活動的即時通知。平台的保護基金涵蓋特定的安全相關事件,交易所每月發佈 儲備證明,覆蓋率達100%。
對於提取,BingX支持基於認證器的2FA、電子郵件驗證,在某些情況下還支持移動生物識別驗證。
Binance
Binance支持基於認證器的2FA、實體安全密鑰(YubiKey)和提取地址白名單系統。
Coinbase
支持基於認證器的2FA和實體安全密鑰。其歷史弱點是在賬戶被盜用情況下的客戶支持。對於美國以外的用戶,恢復過程可能較慢。
Bybit
提供與其他主要交易所類似的安全框架:基於認證器的2FA、提取白名單、反網絡釣魚代碼和設備管理控制。
提取白名單:最被低估的安全功能
在交易所提供的所有安全配置中,提取地址白名單以最低的設置努力提供最高的額外保護。
其機制很簡單:您註冊授權提取的錢包地址。任何嘗試提取到不在列表上的地址的行為都會被自動阻止,即使攻擊者擁有您的密碼和2FA代碼。
這緩解了常見的攻擊場景:用戶賬戶通過網絡釣魚被盜用,但攻擊者仍無法提取資金,因為目標地址未獲批准。
在BingX上,可以配置白名單,在每次新增地址後設有冷卻期,在未經授權存取的情況下創建額外的取消窗口。對於 USDT和其他高價值資產,在進行重大存款之前設置此功能是可用的最佳安全實踐之一。
如何識別交易所網絡釣魚:實用檢查清單
網絡釣魚是交易所賬戶被盜用的主要原因。這些攻擊模仿官方平台通信來竊取憑證。
在任何頁面上輸入密碼或2FA代碼之前,請驗證:
- 域名完全是官方的(例如,bingx.com,而不是bingx-login.com或bingX.com)
- SSL證書是活躍的(地址欄中的鎖圖標)
- 電子郵件包含您配置的反網絡釣魚代碼
- URL不包含可疑的子域名
- 您不是通過Google贊助廣告到達頁面(常見的攻擊向量)
如果您收到要求您「緊急驗證賬戶」或「檢查可疑活動」並附有直接鏈接的電子郵件,請勿點擊。始終通過在瀏覽器中手動輸入官方URL來存取交易所。
逐步設置:保護您的BingX賬戶
- 前往您賬戶控制面板中的安全設置部分
- 通過Google Authenticator或Authy啟用2FA,掃描QR碼,並安全地將備份代碼存儲在離線位置
- 前往提取地址管理並僅添加您控制的地址
- 啟用反網絡釣魚代碼:選擇您在合法電子郵件中能識別的字母和數字組合
- 檢查授權設備並移除任何您不認識的設備
- 通過電子郵件和移動應用程式啟用登錄和提取通知
此過程需要不到15分鐘的時間,並顯著降低賬戶被盜用的風險。如果您尚未完成身份驗證,請完成 BingX的KYC以解鎖所有可用的安全功能。
常見問題:加密交易所安全
1. 什麼是2FA,為什麼我應該在加密交易所上啟用它?
2FA(雙重認證)是超出密碼的額外驗證層。即使有人獲得了您的密碼,他們也無法在沒有認證器應用程式生成的臨時代碼的情況下存取您的賬戶。啟用基於應用程式的2FA是在易用性和保護方面最有效的安全措施之一。
2. 冷儲存對加密投資者是強制性的嗎?
不是,但對於持有大額資金且不需要即時交易存取的用戶強烈建議。對於超過10,000雷亞爾且不會積極交易的加密持有量, 硬件錢包消除了交易所的託管風險。
3. 短信還是認證器應用程式:哪種2FA更安全?
始終首選認證器應用程式。基於短信的2FA容易受到SIM卡交換攻擊,罪犯欺騙電信供應商將您的號碼轉移到他們控制的SIM卡上。巴西這類詐騙發生率很高。
4. 如果我丟失了帶有認證器應用程式的手機會怎樣?
這就是為什麼在啟用2FA之前安全地將備份代碼(認證器種子)存儲在離線位置至關重要。有了此代碼,您可以在新設備上恢復認證器。沒有它,通過交易所的賬戶恢復可能需要幾天時間並需要文檔。
5. 大型交易所比小型交易所更安全嗎?
在基礎設施方面通常是的。大型交易所通常有更多資源用於審計、保險和緊急資金。然而,您的賬戶安全主要取決於您自己的配置,無論平台規模如何。始終檢查交易所是否發佈 儲備證明並遵循巴西監管的 VASP標準。
6. 長期在交易所保留加密貨幣的風險是什麼?
主要風險不是交易所破產,而是通過網絡釣魚或洩露憑證導致的賬戶被盜用。對於長期持有,最好使用冷儲存,交易所僅用於活躍交易。您可以在需要時使用 BingX P2P市場兌換法幣,並在平台上保持最少餘額。
7. 即使我的賬戶被黑客攻擊,提取白名單也能保護我嗎?
是的。即使完全存取賬戶,攻擊者也無法將資金提取到不在白名單上的地址。這是加密交易者中最有效但使用率不足的安全功能之一。
8. 什麼是保護基金?
這是交易所維持的儲備,用於在平台級安全事件(如服務器被黑)的情況下覆蓋用戶損失。它不覆蓋由個人賬戶被盜用(網絡釣魚、SIM交換)造成的損失,這仍然是用戶的責任。BingX維持保護基金並每月發佈 儲備證明報告。
總結:您今天應該做什麼來保護您的賬戶
- 在您使用的所有交易所啟用 基於應用程式的2FA(不是短信)
- 立即設置提取地址白名單
- 為電子郵件啟用反網絡釣魚代碼
- 計算您在交易所的加密風險暴露並評估是否符合您的風險概況
- 如果您持有超過10,000雷亞爾的加密貨幣而沒有活躍交易需求,考慮 硬件錢包
- 將認證器備份代碼存儲在安全的實體位置,絕不要作為手機照片或電子郵件文件
- 每月檢查授權設備和活躍會話。使用適當的 風險管理作為您操作例行程序的一部分,不僅僅是交易倉位