香港加密货币反钓鱼监管新规:在损失3.06亿美元后禁用一次性密码

  |  

香港加密货币投资者即将迎来交易平台登录方式的重大变革。香港证券及期货事务监察委员会已发布一系列新的加密货币反钓鱼监管规定,要求香港所有虚拟资产交易平台和在线经纪商在12个月内取消一次性密码,并以更强大、更防钓鱼的登录方式取而代之。

要点总结

  • 香港证监会已禁止加密货币平台和在线经纪商通过短信、电子邮件和应用程序等方式使用基于一次性密码的登录方式,并规定了12个月的实施期限。
  • 获准的替代方案包括通行密钥、具有加密验证的注册设备和硬件安全密钥。
  • 仅在 2026 年第一季度,网络钓鱼攻击和社会工程诈骗就给加密货币行业造成了3.06 亿美元的损失,而总损失为 4.82 亿美元。
  • 2025 年,假冒和欺诈攻击占香港网络安全事故协调中心报告的所有网络安全事件的 57%
  • 证监会将追究持牌公司高级管理人员因内部控制不足而造成的客户损失的直接责任。

香港强制要求加密货币平台使用防钓鱼登录系统

监管机构的这一举措标志着金融服务领域最常用的账户认证方式正发生重大转变。一次性密码——即通过短信、电子邮件或身份验证器应用程序发送的六位验证码——长期以来一直是双因素登录的行业标准。但证监会现在认为,一次性密码已不足以抵御现代网络钓鱼攻击,并要求各公司将过渡到双因素登录视为当务之急,而非可选项。

尤其是大型互联网经纪公司,已被告知要立即采取行动,而不是等到 12 个月的窗口期结束。

在 12 个月内逐步淘汰一次性密码

新通告禁止所有持牌平台使用一次性密码(OTP)登录。证监会的立场很明确:传统的一次性密码太容易被拦截或复制,攻击者可以通过社交工程、欺骗活动和钓鱼网站诱骗用户在虚假界面上输入凭证。

监管机构还要求各公司实施检测和监控系统,以标记可疑的登录、交易和提款活动。平台必须及时通知客户重大账户操作,并对黑客攻击事件做出迅速反应。定期向客户发出关于新型身份冒用诈骗的警告,也已成为合规措施的一部分。

至关重要的是,证监会明确指出,高级管理层对这些控制措施的充分性负有最终责任。内部系统存在缺陷的公司可能要为由此造成的客户损失承担责任——这种责任框架赋予了这一循环条款真正的效力。

已批准的身份验证方法和设备绑定

证监会已明确列出三类可接受的防钓鱼解决方案:通行密钥、使用加密验证的注册设备以及硬件安全密钥。这三者具有一个共同的特点——它们将身份验证与物理设备或加密证明绑定,即使用户被诱骗访问虚假网站,这些设备或证明也不容易被远程拦截或复制。

这种方法体现了全球防钓鱼认证标准的演变。与可被攻击者通过中间人攻击实时窃取的一次性密码 (OTP) 不同,通行密钥和硬件密钥需要实际持有已注册的设备。不存在代码窃取的可能性。

网络钓鱼和欺诈损失不断增加,威胁加密货币投资者。

证监会发布这项命令并非凭空而来。其背后的数据令人不安

全球加密货币网络钓鱼损失及近期诈骗案例

2026年第一季度,网络钓鱼攻击和社交工程诈骗给加密货币行业造成了3.06亿美元的损失,占该行业同期总损失4.82亿美元的绝大部分。到2026年上半年,与网络钓鱼相关的损失已攀升至3.66亿美元,这表明损失呈加速增长趋势,而非孤立的峰值。

个别事件同样令人担忧。就在证监会发布通告前几天,一位加密货币投资者在以太坊上签署了一份恶意钓鱼代币授权交易,损失近100万美元。同月早些时候,一位钱包持有者连接到一个虚假交易所并签署了一份恶意合约,损失了165万美元——据研究员瑞安·科尔曼(Ryan Coleman)称,这份合约赋予了攻击者无限访问资金的权限。5月25日,链上分析师“b-block”报告称,诈骗分子投放了冒充去中心化交易所Uniswap的恶意谷歌广告,从误以为自己正在访问真实平台的受害者手中窃取了超过40万美元。

香港网络安全事件统计数据

在本地,威胁形势同样严峻。香港网络安全事故协调中心的数据显示,2025年所有报告的安全事件中,伪造和欺诈攻击占57%。这种风险集中于单一威胁类别——欺骗和冒充——的情况,恰恰与证监会新规旨在打击的目标相符。

本地事件数据与全球网络钓鱼损失数据的融合,使得这项监管措施的出台时机显而易见。香港的加密货币市场一直在扩张,持牌平台上的用户数量增加,也意味着攻击面扩大。证监会似乎是在重大本地事件发生之前采取行动。

行业反应及加强钱包安全性的呼吁

币安联合创始人倡导加强钱包安全保护

提升安全标准的压力不仅来自监管机构。币安联合创始人赵长鹏在一位投资者于2025年12月因地址投毒诈骗损失5000万美元后,公开呼吁加强钱包安全措施。地址投毒与网络钓鱼的攻击方式不同——它通过将一个几乎完全相同的欺诈性钱包地址插入受害者的交易记录中来实现——但两者反映的模式相同:攻击者利用受害者注意力不集中的瞬间,造成毁灭性的经济损失。

该事件的规模,以及揭露该事件的人的公众知名度,使得加密安全问题在 2026 年之前一直是行业讨论的热点。

引人注目的地址造假骗局引发警惕

地址投毒攻击造成了近年来最惊人的个人损失。2024年5月,一名受害者在地址投毒攻击中损失了7100万美元——这是一个罕见的案例,最终攻击者在调查人员追踪到疑似IP地址后全额退款。这样的结果实属罕见。大多数此类骗局的受害者都无法追回任何损失。

专家对打击加密货币网络钓鱼的看法

中国证监会中介机构监管司司长叶志恒表示:“为保护客户账户免受日益复杂多变的伪造和欺诈攻击,必须采取综合措施,结合预防、检测、应对和教育等手段。”

框架至关重要。通过更完善的身份验证进行预防只是其中一层。检测系统、快速事件响应和持续的用户教育构成了监管机构目前认为必不可少的其余部分。证监会的通函体现了这种多层次的思考——它并非仅仅要求企业采用更先进的登录技术,而是要求企业构建从登录界面到客户沟通的一体化安全体系。

该法规尚未解答的是,规模较小的虚拟资产交易平台将如何承担大规模实施硬件安全密钥和加密设备绑定所带来的成本和技术复杂性。12个月的过渡期为各公司提供了规划空间,但大型持牌经纪商与规模较小的虚拟资产交易平台在安全工程能力方面存在着实实在在的差距。证监会如何处理这种差距,以及违规处罚是否合理,将决定这项强制性规定的实际效果如何。

常问问题

香港证券及期货事务监察委员会对加密货币平台提出了哪些新的登录要求?

香港证监会要求加密货币平台和在线经纪商采用防钓鱼认证方式,具体包括使用通行密钥、注册加密验证设备和硬件安全密钥,同时禁止使用通过短信、电子邮件或应用程序登录发送的一次性密码。各公司有12个月的时间来落实这些变更,但大型互联网经纪商已被要求立即采取行动。

为什么现在要强制推行这些新的防钓鱼登录方式?

该项强制令的出台,源于网络钓鱼攻击和社交工程诈骗的激增,这些攻击在2026年第一季度给加密货币行业造成了3.06亿美元的损失。同时,数据显示,2025年香港报告的网络安全事件中,57%是伪造和欺诈攻击。证监会认为,一次性密码(OTP)不足以应对当前日益复杂的攻击技术。

香港监管机构接受哪些替代一次性密码的方案?

证监会已批准三类防钓鱼解决方案:通行密钥、带加密验证的注册设备以及硬件安全密钥。这些方法将身份验证与物理设备或加密证明绑定,即使攻击者通过伪造网站或社交工程手段,也很难拦截验证信息。

加密货币行业对这些网络钓鱼威胁有何反应?

包括币安联合创始人赵长鹏在内的业内领袖在发生多起引人注目的事件后,呼吁加强钱包安全,其中包括2025年12月发生的5000万美元地址投毒诈骗案。香港证监会的行动正式确立了业内知名人士数月来一直在非正式倡导的诉求。

本文由人工智能辅助生成,并经编辑团队审核。

推荐阅读

相关文章

摩根大通:比特币受制于《战略法案》和《清晰法案》,这意味着什么?

根据摩根大通最近的一份内部研究报告,2026 年下半年比特币价格的走势将主要取决于 Strategy 的融资策略和《清晰法案》的进展。该文件并未公开,但其内容却已泄露给媒体。摩根大通对比特币价格的这一新立场,其语气明显比以往更加谨慎,反映了加密货币市场中创新、监管需求和银行业传统利益之间持续存在的紧张关系。

美国证券交易委员会2030年新战略:迈向对加密货币的明确监管

美国证券交易委员会近期发布了2026-2030年战略规划,标志着其在数字资产、区块链和代币化金融基础设施监管方面迈出了重要一步。这些议题此前与该机构的传统优先事项相比显得边缘化,如今已成为其未来几年发展路线图的核心。

根据新的行政命令,怀俄明州人工智能数据中心监管更加严格

怀俄明州在人工智能数据中心监管方面迈出了重要一步,州长马克·戈登签署了第2026-03号行政命令,正式对该州快速发展的人工智能数据中心行业进行监管。这项名为“怀俄明州式数据中心”的行政命令表明,怀俄明州希望抓住人工智能基础设施建设热潮带来的机遇,同时避免能源网络、供水系统和当地社区默默承担相关成本。时机至关重要。

Ripple XRP 的监管问题再次回到华盛顿,Garlinghouse 援引特朗普的话称

Ripple XRP 的监管问题再次回到华盛顿,Garlinghouse 援引特朗普的话称在Ripple首席执行官布拉德·加林豪斯(Brad Garlinghouse)表示针对加密货币行业的政治运动已经失去动力后,Ripple XRP的监管问题再次成为华盛顿加密货币辩论的焦点。