HomeSenza categoriaRegolamentazione香港加密货币钓鱼监管在损失3.06亿美元后禁止使用一次性密码(OTP)

香港加密货币钓鱼监管在损失3.06亿美元后禁止使用一次性密码(OTP)

香港的加密货币投资者即将迎来交易平台登录方式的巨大变革。香港证券及期货事务监察委员会发布了新的全面香港加密货币防钓鱼监管要求,命令本市所有虚拟资产交易平台和网上券商在 12 个月内取消一次性密码,并以更强、更具防钓鱼能力的登录方式取而代之。

要点速览

  • 证监会已禁止加密平台和网上券商通过短信、电子邮件以及应用程序方式使用基于一次性密码(OTP)的登录,并设定了 12 个月的实施期限。
  • 获批准的替代方案包括通行密钥(passkeys)、使用密码学验证的已注册设备,以及硬件安全密钥。
  • 仅在 2026 年第一季度,钓鱼攻击和社会工程诈骗就在加密行业造成了3.06 亿美元的损失,在总计 4.82 亿美元损失中占据大头。
  • 2025 年,伪造与诈骗攻击占香港网络安全事故协调中心报告的全部网络安全事件的 57%
  • 证监会将对持牌机构的高级管理层因内部控制不足而导致的客户损失直接追责。

香港强制加密平台采用防钓鱼登录方式

这一监管行动标志着金融服务业从最常用的账户认证方式上进行重大转向。一次性密码——通过短信、电子邮件或验证器应用发送的六位数字代码——长期以来一直是双重登录验证的行业标准。证监会如今认为,这些方式不足以应对现代钓鱼技术,并要求各公司将这一转变视为紧迫任务,而非可选项。

尤其是大型互联网券商,被要求立即采取行动,而不是等待 12 个月期限结束。

在 12 个月内逐步淘汰一次性密码

新的通函禁止所有持牌平台使用基于 OTP 的登录。证监会的立场十分明确:传统的一次性密码很容易通过社会工程、仿冒活动以及诱导用户在伪造界面输入凭证的钓鱼网站被拦截或复制。

监管机构还要求公司实施检测与监控系统,以标记可疑的登录、交易和提币活动。平台必须及时通知客户重大账户操作,并对黑客入侵事件迅速作出响应。定期向客户发出关于新型冒充诈骗的警示,也已成为合规要求的一部分。

至关重要的是,证监会明确指出,高级管理层对这些控制措施的充分性负最终责任。内部系统不到位的公司,可能要为由此产生的客户损失承担责任——这种责任界定使得本次通函具有实质约束力。

获批准的认证方式与设备绑定

证监会明确了三类可接受的防钓鱼解决方案:通行密钥(passkeys)、使用密码学验证的已注册设备,以及硬件安全密钥。这三种方式有一个共同特征——它们将认证绑定到某个物理设备或密码学证明上,即便用户被诱导访问假网站,也难以被远程拦截或复制。

这种做法反映了全球防钓鱼认证标准的发展方向。与可被中间人攻击实时窃取的一次性密码不同,通行密钥和硬件密钥要求实际持有已注册设备。不存在可被窃取的代码。

不断上升的钓鱼与诈骗损失威胁加密投资者

证监会发布这一命令并非空穴来风,其背后的数据令人不安

全球加密钓鱼损失与近期骗局

钓鱼攻击和社会工程诈骗在 2026 年第一季度为加密行业带来了3.06 亿美元的损失——在该季度行业总损失 4.82 亿美元中占多数。到 2026 年上半年,与钓鱼相关的损失已攀升至3.66 亿美元,凸显出这是一种加速发展的趋势,而非偶发高峰。

个案同样令人担忧。就在证监会发布通函前几天,一名加密投资者在以太坊上签署了恶意钓鱼代币授权交易,损失近100 万美元。同月早些时候,一名钱包持有人在连接到假交易所并签署恶意合约后损失了165 万美元——据研究员 Ryan Coleman 称,该笔交易授予攻击者对资金的无限访问权限。5 月 25 日,链上分析师 “b-block” 报告称,诈骗者投放了冒充去中心化交易所 Uniswap 的恶意谷歌广告,从误以为自己访问的是正规平台的受害者那里盗走了逾 40 万美元。

香港网络安全事件统计

在本地,威胁形势同样严峻。香港网络安全事故协调中心的数据显示,伪造与诈骗攻击占 2025 年报告的全部安全事件的 57%。这种风险在单一威胁类别——仿冒与冒充——上的高度集中,正是新证监会要求所针对的对象。

本地事件数据与全球钓鱼损失的叠加,使得这项监管出台的时机不难理解。香港加密市场正在扩张,持牌平台用户越多,攻击面就越大。证监会似乎希望在发生重大本地事故之前先行一步。

行业反应与对更强钱包安全的呼吁

币安联合创始人呼吁提升钱包防护

推动提高安全标准的压力并非只来自监管机构。币安联合创始人赵长鹏在 2025 年 12 月一名投资者在地址投毒骗局中损失 5000 万美元后,公开呼吁加强钱包安全措施。地址投毒与钓鱼是不同的攻击路径——它通过在受害者的交易历史中插入一个几乎相同的伪造钱包地址来实施攻击——但反映的是同一更广泛的模式:攻击者利用受害者短暂的疏忽,造成毁灭性的财务后果。

该事件的规模以及发声者的公众影响力,使得加密安全议题在进入 2026 年前持续留在行业讨论之中。

引发警报的典型地址投毒骗局

地址投毒在近年制造了一些最为惊人的单笔损失。2024 年 5 月,一名受害者在一次地址投毒攻击中损失了 7100 万美元——这一罕见案例最终以攻击者在调查人员声称追踪到潜在 IP 地址后归还全部资金告终。但这种结果极为例外。在此类骗局中,大多数受害者一无所获。

专家对打击加密钓鱼的看法

“要保护客户账户免受日益复杂多变的伪造与诈骗攻击,必须将预防、检测、响应和教育等综合措施结合实施。”中国证监会中介机构部执行董事叶志恒表示。

这种表述方式很重要。通过更好的认证进行预防只是其中一层。检测系统、快速事件响应以及持续的用户教育构成了监管机构如今认为必需的其余部分。证监会的通函体现了这种分层思路——它并非只要求更好的登录技术就戛然而止,而是要求公司从登录界面到客户沟通,构建一体化的安全防护体系。

这项监管尚未回答的问题是,规模较小的虚拟资产交易平台将如何消化在大规模实施硬件安全密钥和密码学设备绑定时所需的成本与技术复杂度。12 个月的窗口期为公司提供了规划空间,但大型持牌券商与小型虚拟资产交易平台在安全工程能力上的差距是真实存在的。证监会将如何处理这种差距——以及对不合规行为的处罚是否相称——可能会决定这一强制措施最终的实际效果。

常见问题

香港证券及期货事务监察委员会对加密平台施加了哪些新的登录要求?

证监会要求加密平台和网上券商采用具备防钓鱼能力的认证方式——具体包括通行密钥、使用密码学验证的已注册设备以及硬件安全密钥——同时禁止通过短信、电子邮件或应用程序方式发送的一次性密码登录。公司有 12 个月时间落实这些变更,但大型互联网券商已被要求立即行动。

为何现在要强制采用这些新的防钓鱼登录方式?

这一强制措施源于钓鱼攻击和社会工程诈骗的急剧上升,这类攻击在 2026 年第一季度给加密行业造成了 3.06 亿美元的损失,同时还有数据显示,伪造与诈骗攻击占 2025 年香港报告的网络安全事件的 57%。证监会认为,面对当前攻击技术的复杂程度,OTP 已不足以应对。

香港监管机构接受哪些一次性密码的替代方案?

证监会批准了三类具备防钓鱼能力的解决方案:通行密钥、使用密码学验证的已注册设备,以及硬件安全密钥。这些方式将认证与物理设备或密码学证明绑定,即便通过仿冒网站或社会工程攻击,攻击者也更难拦截。

加密行业对这些钓鱼威胁有何反应?

包括币安联合创始人赵长鹏在内的行业领袖,在 2025 年 12 月发生 5000 万美元地址投毒骗局等高调事件后,一直呼吁加强钱包安全。证监会的行动将业内知名人士数月来非正式倡导的主张正式制度化。

{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”What new login requirements has the Hong Kong Securities and Futures Commission imposed on crypto platforms?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”The SFC requires crypto platforms and online brokers to adopt phishing-resistant authentication methods — specifically passkeys, registered devices with cryptographic verification, and hardware security keys — while banning one-time passwords delivered via SMS, email, or app-based logins. Firms have 12 months to implement the changes, though large internet brokers have been told to act immediately.”}},{“@type”:”Question”,”name”:”Why are these new phishing-resistant login methods being mandated now?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”The mandate follows a sharp rise in phishing attacks and social engineering scams that caused $306 million in losses across the crypto industry in Q1 2026, alongside data showing that counterfeiting and fraud attacks accounted for 57% of cybersecurity incidents reported in Hong Kong in 2025. The SFC views OTPs as inadequate against the sophistication of current attack techniques.”}},{“@type”:”Question”,”name”:”What alternatives to one-time passwords are accepted by the Hong Kong regulator?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”The SFC has approved three categories of phishing-resistant solutions: passkeys, registered devices with cryptographic verification, and hardware security keys. These methods tie authentication to a physical device or cryptographic proof, making them significantly harder for attackers to intercept even through spoofed websites or social engineering.”}},{“@type”:”Question”,”name”:”What has been the reaction from the crypto industry to these phishing threats?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Industry leaders including Binance co-founder Changpeng Zhao have called for stronger wallet security following high-profile incidents, including a $50 million address poisoning scam in December 2025. The SFC’s action formalizes what prominent figures in the industry have been advocating informally for months.”}}]}

本文在人工智能协助下完成,并由编辑团队审核。

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST