钓鱼防御不是一次设置就完事,需要长期监控。本文给月度审计清单。下载入口:币安官网,移动端 币安官方APP,iOS 没装 App 看 iOS 安装教程。
一、月度审计 4 项
| 项 | 耗时 | 工具 |
|---|---|---|
| 1. 邮件审计 | 10 分钟 | 邮箱搜索 |
| 2. 登录历史 | 5 分钟 | 币安账户安全 |
| 3. API 列表 | 5 分钟 | 币安 API 管理 |
| 4. 白名单复核 | 10 分钟 | 币安提币地址 |
二、邮件审计
步骤
- 邮箱搜索"binance"
- 翻最近一个月所有币安邮件
- 检查每封:
- 发件人 @binance.com
- 主题带反钓鱼码
- 未点过可疑链接
异常信号
- 没反钓鱼码的"币安"邮件
- 你不记得的"密码已修改"通知
- 你不记得的"新设备登录"通知
任一异常立刻进入应急。
三、登录历史
步骤
- 币安 → 账户 → 安全 → 登录活动
- 看最近 30 天每条记录:
- 时间
- IP(地区)
- 设备
- 对应自己的实际行为
异常信号
- 你不在的地区有登录
- 你睡觉时段有登录
- 设备名陌生
任一异常 → 立即改密码 + 重置 2FA。
四、API 列表
步骤
- 币安 → API 管理
- 看每个 API key:
- 创建时间
- 权限(只读 / 交易 / 提币)
- 最近使用
异常信号
- 你没创建过的 key
- 权限被改成"提币"(默认创建时不会自动开提币)
- 长期未使用的 key
清理:把不用的删除。提币权限的 key 默认是危险,除非你的策略需要。
五、白名单复核
步骤
- 币安 → 安全 → 提币地址
- 看每个白名单:
- 你认得这个地址
- 备注是你写的
- 添加时间是你做的
异常信号
- 陌生地址
- 备注非你常用风格
- 添加时间你不在线
立即删除并改密码。
六、其它定期事项
季度(3 个月)
- 改登录密码
- 检查关联手机 / 邮箱
半年
- 重新生成 Authenticator 种子
- 更新硬件密钥固件
- 审视 KYC 信息是否过期
年度
- 完整安全设置审计
- 演习"账号丢失"恢复流程
- 检查冷钱包助记词备份
七、自动化监控
邮件转发规则
设置邮件规则:所有币安邮件单独标签 + 自动归档。月度审计时一个标签直接看完。
通知
币安推送 + 邮件 + 短信三通道,任一异常立即知道。设置好不要关。
第三方监控
某些工具(如 DeFiLlama 衍生 / 链上分析)可订阅"你的钱包地址有大额转出"提醒。冷钱包加进去,被攻击瞬间能感知。
八、家庭范围
如果你管理家人的币安账号:
- 共同制定安全清单
- 定期一起检查
- 紧急联系链路(一人发现异常立即通知全家)
家庭金融账号链路从最弱者攻破,整体监控比单人有效。
FAQ
Q1:每月 30 分钟够吗? 够。如果设置都做好了,30 分钟仅是核对没异常。出问题深入处理。
Q2:APP 上能做这些吗? 能。所有项目都在账户安全菜单里。
Q3:审计不到位的最坏后果? 攻击者悄悄植入了 API 或白名单,月底变现。提前发现能阻止。
Q4:可以全自动化吗? 币安没开放设置自动化 API 给安全审计。手动 30 分钟最稳。