很多人是衝著"買幣"註冊幣安的,幾乎沒人是為了"安全"去的。但真正讓老使用者吃虧的永遠不是行情,而是賬號。把賬號安全的基礎做好,其實只需要三十分鐘——先從 幣安官網 完成註冊,再下載 幣安官方APP,然後按本文順序依次設定反釣魚碼、2FA 和白名單。iPhone 使用者如果還沒裝 APP,先去 iOS安裝教程 看切換 Apple ID 的步驟,不要在第三方平臺下載。
一、先認清"你最可能在哪一步被偷"
交易所被盜案件裡最常見的五個入口排序是這樣的:
- 釣魚郵件點連結——郵件標題和發件人都非常逼真,點進去就是假幣安登入頁
- 釣魚 APP——安裝了非官方版本,登入密碼被截獲、2FA 驗證碼被中間人轉發
- 裝置丟失 / 舊裝置未登出——換手機不退賬號,舊裝置被家人朋友或二手平臺買家拿到
- SIM Swap——攻擊者透過社工讓運營商把手機號轉到自己的 SIM 卡上,簡訊 2FA 形同虛設
- 公共 Wi-Fi 抓包——在咖啡廳或酒店登入時連線了偽造的 Wi-Fi 熱點,流量被中間人解密
這五個入口的共同點是:都可以透過一次性配置大幅度消除風險。本文後面講的五件事就是分別對應這五個入口。
二、第一件事:把郵箱當作主賬號來保護
幣安賬號的真正"主賬號"是你的註冊郵箱。攻擊者一旦拿到郵箱控制權,就能透過"忘記密碼"把幣安賬號密碼重置掉;即使你開了 2FA,也可以透過申請"賬戶恢復"繞過。所以郵箱的安全等級必須至少和幣安賬號等同,推薦:
- 專門為幣安註冊一個獨立郵箱,不和任何社交/購物/工作郵箱混用
- 這個郵箱本身也要開 2FA(Gmail 建議綁 Google Authenticator,Outlook 建議綁 Microsoft Authenticator)
- 郵箱密碼至少 16 位隨機字元,用密碼管理器生成
- 不要用"姓名 + 生日"或者"手機號 + 字母"這種容易被猜的組合
三、第二件事:設定反釣魚碼
反釣魚碼(Anti-Phishing Code)是幣安 2019 年引入的一項功能——你設定一段 6–8 位的自定義字串,幣安之後發給你的所有官方郵件標題都會帶上這段字串。比如你設成 SBYT-42,正常郵件標題就是 [SBYT-42] 提幣確認通知,而釣魚郵件裡永遠不會出現這個串。
操作位置:登入 幣安官網 → 賬戶 → 安全 → 反釣魚碼。設完之後馬上自己給自己發一條提幣申請或充幣通知,確認郵件裡真的帶了這個碼。反釣魚碼的有效性完全依賴你事後堅持"看郵件先看碼"的習慣,不是設完就一勞永逸的。
四、第三件事:把 2FA 換成 Google Authenticator
幣安預設開的是簡訊 2FA,這是最弱的一種。SIM Swap 攻擊在中國已經有多起案例——攻擊者社工到運營商客服,聲稱手機丟了需要補卡,成功後簡訊全部接收到他的新卡上。補卡完成到你的賬號被轉空,往往在半小時以內。
應對方式:改用 Google Authenticator(TOTP)。 它不依賴手機號、不需要網路、驗證碼每 30 秒重新整理,就算攻擊者掌握了你的手機號也用不上。繫結步驟:
- App Store / Play Store 下載「Google Authenticator」,認準開發者
Google LLC - 登入幣安 → 安全中心 → 谷歌驗證器 → 開啟
- 掃描螢幕上的二維碼前,先手動抄寫 16 位金鑰到紙上——這是換機/重灌時唯一的恢復憑證
- 掃碼後輸入 APP 裡顯示的 6 位動態碼完成繫結
- 繫結後,幣安會要求你在登入、提幣、修改安全設定三個動作上都用 2FA
重要提醒: Google Authenticator 預設不會雲端同步,意味著你如果丟了手機或重灌系統,沒抄過金鑰就等於永久失聯。抄寫金鑰這一步不能偷懶。
五、第四件事:啟用提幣白名單
白名單的作用是:只允許資金轉出到你提前登記過的地址。開啟後,即使賬號密碼和 2FA 都被攻破,攻擊者也沒辦法把資金轉到自己的地址。
設定路徑:賬戶 → 安全 → 提幣白名單 → 開啟。然後逐一新增你常用的冷錢包地址、其它交易所的充幣地址。首次新增新地址後系統會強制等待 24 小時冷靜期才能使用,這個機制本身就是防盜措施。
很多老使用者看到"24 小時冷靜期"嫌麻煩就沒開白名單,但資料上看,開啟白名單的賬戶即使遭遇撞庫或社工攻擊,資金損失機率會下降 90% 以上。麻煩換安心,值得。
六、第五件事:清理歷史登入裝置
進入賬戶 → 安全 → 管理裝置,你會看到一串登入記錄。典型的清理思路是:
- 立刻移除你已經換掉的手機、用過的朋友電腦、測試過的網頁登入
- 保留你日常在用的主力手機和常用電腦
- 對每一條保留記錄,核對登入時間、IP 歸屬地、裝置指紋是否全部合理
- 啟用"新裝置登入郵件告警",後續任何新裝置登入都會實時通知你
這一步看似簡單但非常關鍵——大部分被盜案例覆盤後都發現,攻擊者使用的是一個已經在"活躍會話"裡存在、只是當事人忘記清理的舊裝置。
七、做完這五件事之後
這五件事做完,你的賬號已經達到了普通黑產放棄攻擊的安全等級。之後建議保留一個每月 10 分鐘的"安全巡檢"習慣:
- 看一次反釣魚碼是否還在(幣安偶爾會因為風控重置)
- 檢查裝置管理裡有沒有陌生會話
- 更新一次 API 金鑰許可權(如果你在用 API 交易)
- 翻一下近 30 天的郵件,確認每一封幣安郵件都帶反釣魚碼
常見問題
Q:設了反釣魚碼,收到沒有帶碼的郵件一定是釣魚嗎? A:絕大多數情況下是。但有一種例外:註冊時傳送的郵箱驗證郵件因為那時候還沒有賬號,所以不帶碼。除了這一種情況外,凡是沒有反釣魚碼的幣安官方郵件都應按釣魚處理。
Q:Google Authenticator 和 Authy 哪個更推薦? A:兩個都可以,差別在於雲端同步。Authy 支援多裝置同步,適合經常換手機的使用者,但云端同步本身是個新的攻擊面;Google Authenticator 預設本地儲存更安全但換機麻煩。安全等級更高的使用者建議 Google Authenticator + 金鑰離線備份。
Q:白名單對已經加入的地址會失效嗎? A:不會。已加入的地址永久有效,除非你主動刪除。只有新新增的地址才受 24 小時冷靜期約束。
Q:做完這五件事還需要擔心什麼? A:最大的剩餘風險是自己親手把密碼或驗證碼交出去——包括點選釣魚連結、接到假客服電話、在可疑網站"驗證賬號"。技術層面的防護已經夠了,之後就是訓練反釣魚意識。