
香港加密貨幣投資者即將迎來交易平臺登錄方式的重大變革。香港證券及期貨事務監察委員會已發佈一系列新的加密貨幣反釣魚監管規定,要求香港所有虛擬資產交易平臺和在線經紀商在12個月內取消一次性密碼,並以更強大、更防釣魚的登錄方式取而代之。
要點總結
- 香港證監會已禁止加密貨幣平臺和在線經紀商通過短信、電子郵件和應用程序等方式使用基於一次性密碼的登錄方式,並規定了12個月的實施期限。
- 獲准的替代方案包括通行密鑰、具有加密驗證的註冊設備和硬件安全密鑰。
- 僅在 2026 年第一季度,網絡釣魚攻擊和社會工程詐騙就給加密貨幣行業造成了3.06 億美元的損失,而總損失爲 4.82 億美元。
- 2025 年,假冒和欺詐攻擊佔香港網絡安全事故協調中心報告的所有網絡安全事件的 57% 。
- 證監會將追究持牌公司高級管理人員因內部控制不足而造成的客戶損失的直接責任。
香港強制要求加密貨幣平臺使用防釣魚登錄系統
監管機構的這一舉措標誌着金融服務領域最常用的賬戶認證方式正發生重大轉變。一次性密碼——即通過短信、電子郵件或身份驗證器應用程序發送的六位驗證碼——長期以來一直是雙因素登錄的行業標準。但證監會現在認爲,一次性密碼已不足以抵禦現代網絡釣魚攻擊,並要求各公司將過渡到雙因素登錄視爲當務之急,而非可選項。
尤其是大型互聯網經紀公司,已被告知要立即採取行動,而不是等到 12 個月的窗口期結束。
在 12 個月內逐步淘汰一次性密碼
新通告禁止所有持牌平臺使用一次性密碼(OTP)登錄。證監會的立場很明確:傳統的一次性密碼太容易被攔截或複製,攻擊者可以通過社交工程、欺騙活動和釣魚網站誘騙用戶在虛假界面上輸入憑證。
監管機構還要求各公司實施檢測和監控系統,以標記可疑的登錄、交易和提款活動。平臺必須及時通知客戶重大賬戶操作,並對黑客攻擊事件做出迅速反應。定期向客戶發出關於新型身份冒用詐騙的警告,也已成爲合規措施的一部分。
至關重要的是,證監會明確指出,高級管理層對這些控制措施的充分性負有最終責任。內部系統存在缺陷的公司可能要爲由此造成的客戶損失承擔責任——這種責任框架賦予了這一循環條款真正的效力。
已批准的身份驗證方法和設備綁定
證監會已明確列出三類可接受的防釣魚解決方案:通行密鑰、使用加密驗證的註冊設備以及硬件安全密鑰。這三者具有一個共同的特點——它們將身份驗證與物理設備或加密證明綁定,即使用戶被誘騙訪問虛假網站,這些設備或證明也不容易被遠程攔截或複製。
這種方法體現了全球防釣魚認證標準的演變。與可被攻擊者通過中間人攻擊即時竊取的一次性密碼 (OTP) 不同,通行密鑰和硬件密鑰需要實際持有已註冊的設備。不存在代碼竊取的可能性。
網絡釣魚和欺詐損失不斷增加,威脅加密貨幣投資者。
證監會發布這項命令並非憑空而來。其背後的數據令人不安。
全球加密貨幣網絡釣魚損失及近期詐騙案例
2026年第一季度,網絡釣魚攻擊和社交工程詐騙給加密貨幣行業造成了3.06億美元的損失,佔該行業同期總損失4.82億美元的絕大部分。到2026年上半年,與網絡釣魚相關的損失已攀升至3.66億美元,這表明損失呈加速增長趨勢,而非孤立的峯值。
個別事件同樣令人擔憂。就在證監會發布通告前幾天,一位加密貨幣投資者在以太坊上籤署了一份惡意釣魚代幣授權交易,損失近100萬美元。同月早些時候,一位錢包持有者連接到一個虛假交易所並簽署了一份惡意合約,損失了165萬美元——據研究員瑞安·科爾曼(Ryan Coleman)稱,這份合約賦予了攻擊者無限訪問資金的權限。5月25日,鏈上分析師“b-block”報告稱,詐騙分子投放了冒充去中心化交易所Uniswap的惡意谷歌廣告,從誤以爲自己正在訪問真實平臺的受害者手中竊取了超過40萬美元。
香港網絡安全事件統計數據
在本地,威脅形勢同樣嚴峻。香港網絡安全事故協調中心的數據顯示,2025年所有報告的安全事件中,僞造和欺詐攻擊佔57%。這種風險集中於單一威脅類別——欺騙和冒充——的情況,恰恰與證監會新規旨在打擊的目標相符。
本地事件數據與全球網絡釣魚損失數據的融合,使得這項監管措施的出臺時機顯而易見。香港的加密貨幣市場一直在擴張,持牌平臺上的用戶數量增加,也意味着攻擊面擴大。證監會似乎是在重大本地事件發生之前採取行動。
行業反應及加強錢包安全性的呼籲
幣安聯合創始人倡導加強錢包安全保護
提升安全標準的壓力不僅來自監管機構。幣安聯合創始人趙長鵬在一位投資者於2025年12月因地址投毒詐騙損失5000萬美元后,公開呼籲加強錢包安全措施。地址投毒與網絡釣魚的攻擊方式不同——它通過將一個幾乎完全相同的欺詐性錢包地址插入受害者的交易記錄中來實現——但兩者反映的模式相同:攻擊者利用受害者注意力不集中的瞬間,造成毀滅性的經濟損失。
該事件的規模,以及揭露該事件的人的公衆知名度,使得加密安全問題在 2026 年之前一直是行業討論的熱點。
引人注目的地址造假騙局引發警惕
地址投毒攻擊造成了近年來最驚人的個人損失。2024年5月,一名受害者在地址投毒攻擊中損失了7100萬美元——這是一個罕見的案例,最終攻擊者在調查人員追蹤到疑似IP地址後全額退款。這樣的結果實屬罕見。大多數此類騙局的受害者都無法追回任何損失。
專家對打擊加密貨幣網絡釣魚的看法
中國證監會中介機構監管司司長葉志恆表示:“爲保護客戶賬戶免受日益複雜多變的僞造和欺詐攻擊,必須採取綜合措施,結合預防、檢測、應對和教育等手段。”
框架至關重要。通過更完善的身份驗證進行預防只是其中一層。檢測系統、快速事件響應和持續的用戶教育構成了監管機構目前認爲必不可少的其餘部分。證監會的通函體現了這種多層次的思考——它並非僅僅要求企業採用更先進的登錄技術,而是要求企業構建從登錄界面到客戶溝通的一體化安全體系。
該法規尚未解答的是,規模較小的虛擬資產交易平臺將如何承擔大規模實施硬件安全密鑰和加密設備綁定所帶來的成本和技術複雜性。12個月的過渡期爲各公司提供了規劃空間,但大型持牌經紀商與規模較小的虛擬資產交易平臺在安全工程能力方面存在着實實在在的差距。證監會如何處理這種差距,以及違規處罰是否合理,將決定這項強制性規定的實際效果如何。
常問問題
香港證券及期貨事務監察委員會對加密貨幣平臺提出了哪些新的登錄要求?
香港證監會要求加密貨幣平臺和在線經紀商採用防釣魚認證方式,具體包括使用通行密鑰、註冊加密驗證設備和硬件安全密鑰,同時禁止使用通過短信、電子郵件或應用程序登錄發送的一次性密碼。各公司有12個月的時間來落實這些變更,但大型互聯網經紀商已被要求立即採取行動。
爲什麼現在要強制推行這些新的防釣魚登錄方式?
該項強制令的出臺,源於網絡釣魚攻擊和社交工程詐騙的激增,這些攻擊在2026年第一季度給加密貨幣行業造成了3.06億美元的損失。同時,數據顯示,2025年香港報告的網絡安全事件中,57%是僞造和欺詐攻擊。證監會認爲,一次性密碼(OTP)不足以應對當前日益複雜的攻擊技術。
香港監管機構接受哪些替代一次性密碼的方案?
證監會已批准三類防釣魚解決方案:通行密鑰、帶加密驗證的註冊設備以及硬件安全密鑰。這些方法將身份驗證與物理設備或加密證明綁定,即使攻擊者通過僞造網站或社交工程手段,也很難攔截驗證信息。
加密貨幣行業對這些網絡釣魚威脅有何反應?
包括幣安聯合創始人趙長鵬在內的業內領袖在發生多起引人注目的事件後,呼籲加強錢包安全,其中包括2025年12月發生的5000萬美元地址投毒詐騙案。香港證監會的行動正式確立了業內知名人士數月來一直在非正式倡導的訴求。
本文由人工智能輔助生成,並經編輯團隊審覈。