香港在加强加密货币安全方面的努力刚刚迈出了具体且影响深远的一步。该市的证券及期货事务监察委员会发布通函,禁止所有加密货币交易平台和网络券商使用一次性密码登录——这是对一场正在悄然掏空用户账户并压垮本地区网络安全基础设施的网络钓鱼疫情作出的直接回应。
Summary
要点速览
- 香港证监会已禁止加密平台和网络券商使用短信、电子邮件和应用程序的一次性密码登录,要求改用通行密钥或其他抗网络钓鱼的方式。
- 运营方有12个月期限完成合规;大型券商必须立即行动。
- 香港在2025年记录了15,877宗网络安全事故——较前一年增长27%——其中网络钓鱼占57%。
- 持牌平台的高级管理层如今将对因身份验证薄弱而导致的客户损失承担直接个人责任。
- 近期的网络钓鱼攻击从一名 HyperSwap 用户处盗走12,300 美元,并从假冒 Uniswap 网站中盗取约40 万美元,凸显威胁规模。
香港禁止一次性密码登录以应对网络钓鱼风险
证监会的通函对于金融监管机构而言异常直接:停止使用一次性密码,如果你是大型券商,就要立刻停止。对于较小的运营方,过渡期为通函发布之日起12个月。文件中没有任何含糊空间,也未提及延长期机制。
一次性密码禁令及新身份验证要求的细节
禁令涵盖所有常见形式的一次性密码——短信验证码、电子邮件验证链接以及应用生成的令牌——移除了金融服务领域历史上最常见的一层登录安全防护。取而代之的是,平台必须实施通行密钥、带有密码学验证的注册设备以及硬件安全密钥。证监会将这些统称为抗网络钓鱼解决方案,意味着即便用户被诱骗访问伪造网站,这些方式也无法被利用。
“为了保护客户账户免受日益复杂多样的网络钓鱼攻击,有必要采取结合预防、检测、响应和教育的综合方法,”证监会中介机构部执行董事叶志恒博士表示。他补充说,持牌机构需要通过强健的身份验证来强化第一道防线,并在损失发生前迅速作出响应。
其基本逻辑很简单:一次性密码可以被网络钓鱼网站实时拦截或转发,而通行密钥和密码学设备绑定则不能。诱骗用户在假冒交易所页面输入一次性密码的攻击者可以获得所需的一切;遇到基于通行密钥登录的攻击者则一无所获。
合规期限及对大型券商的即时影响
12个月的过渡期大体适用于所有运营方,但大型网络券商将面临立即的严格审查,没有宽限期。证监会使用“在切实可行的情况下尽快”这样的表述,表明其期望大型机构将此视为运营紧急事件,而非未来的项目里程碑。未能在期限内完成的公司将面临执法行动和声誉损害,这种组合可能影响其监管地位和客户信任,而在一个牌照信誉至关重要的市场中,这一点尤为关键。
香港网络钓鱼攻击与网络安全威胁上升
这项监管背后的数字十分醒目。香港在2025年记录了15,877宗网络安全事故,较前一年增长27%——并且是2023年记录的7,752宗事故的两倍多。根据证监会在声明中引用的香港网络安全事故协调中心的数据,网络钓鱼和仿冒攻击占所有报告案件的57%。
由网络钓鱼推动的网络事故激增
这种加速趋势值得关注。从2023年的约7,752宗事故到两年后接近16,000宗,这代表的是结构性问题,而非统计噪音。僵尸网络攻击以18%的占比位居其后,恶意软件占15%。但证监会最关注的仍是网络钓鱼——正是因为它是最直接依赖一次性密码登录系统的攻击向量。
在全球范围内,形势同样令人担忧。网络钓鱼攻击和社会工程诈骗在2026年第一季度就占据了加密行业4.82亿美元总损失中的3.06亿美元。据相关报告引用的行业追踪数据,今年上半年与网络钓鱼相关的总损失已达到3.66亿美元。
与网络钓鱼骗局相关的典型加密盗窃案例
两个近期案例准确展示了证监会试图阻止的情形。一场虚假空投网络钓鱼骗局在不到90秒内从一名 HyperSwap 用户处盗走了12,300 美元。大致在同一时期,诈骗者投放恶意谷歌广告,冒充去中心化交易所 Uniswap,据报道通过假网站从多个钱包中骗取了约40 万美元。这两起案件都涉及在登录时窃取凭证——这正是一
次性密码系统暴露出的关键漏洞。
这些并非孤立的边缘案例。一名加密投资者在以太坊上签署了恶意的网络钓鱼代币授权后损失近100万美元。另一名钱包持有人据称在连接到假冒交易所并签署一份赋予攻击者无限资金访问权限的合约后损失了165万美元。这种模式具有一致性、可扩展性,并且越来越难以与合法平台交互区分开来。
监管执法与管理层问责
或许新框架中最具影响力的部分在于责任归属。证监会已明确表示,持牌平台的高级管理层对保护客户账户负最终责任。薄弱的网络安全控制不再是可以悄然修补的合规缺口——当客户发生损失时,它们将直接触发管理层责任。
高级管理层对客户损失的责任
这比此前的指引标准更为严格。此前,公司的监管风险主要集中在机构层面的处罚。新框架则将个别高管纳入责任范围。如果平台的身份验证控制不足,导致客户因网络钓鱼攻击而损失资金,责任链如今将直接延伸至公司最高管理层。
这种问责转变显著改变了内部决策的权衡。对于合规团队而言,当另一种选择是让首席执行官或首席技术官承担个人责任时,为身份验证升级争取预算和优先级将容易得多。
不合规的后果与运营要求
除了责任问题之外,平台现在必须实施持续的检测和监控系统,能够实时识别可疑登录、交易和提现行为。平台还被要求及时通知客户重大账户活动——包括设备绑定事件、登录异常和异常交易模式——并定期提醒用户注意新出现的仿冒骗局。
未能在12个月期限内完成的公司将面临执法行动和声誉损害。在香港监管严格的加密环境中,牌照信誉是重要的竞争差异化因素,这种组合的影响不容小觑。
这对全球加密行业意味着什么
香港的禁令并非孤立存在。FBI 一直在开展全球网络犯罪打击行动,针对依赖被盗凭证的犯罪网络。Tether 与TRON 的 T3部门协同运作,一直在冻结与有组织凭证盗窃行动相关的加密资产。监管和执法机构显然在朝同一方向前进——而香港只是比大多数司法辖区走得更快。
现在的问题在于,新加坡、英国以及其他主要加密监管辖区的同行会否将此视为模板,还是会等待自身损失数据达到类似阈值。于2026年7月1日全面生效的欧盟加密框架 MiCAR 已设定严格的治理和合规标准——但尚未明确要求使用通行密钥。一般性网络安全要求与香港刚刚发布的这类针对身份验证的具体强制规定之间的差距,可能成为下一阶段监管趋同的前沿。
对于在全球运营的加密平台而言,实际影响已经显现:为在香港合规所需的技术基础设施——通行密钥、密码学设备绑定、实时异常检测——正是其他地区监管机构很可能接下来会要求的内容。现在就构建这些能力,而不是按司法辖区逐一补齐,或许是更理性的前进路径。
常见问题
香港对加密平台禁止了哪些登录方式?
香港证券及期货事务监察委员会已禁止在加密货币交易平台登录和设备绑定中使用短信、电子邮件和应用程序的一次性密码。
取代一次性密码需要使用哪些身份验证方式?
平台必须实施通行密钥、带有密码学验证的注册设备以及硬件安全密钥——证监会将这些方式描述为抗网络钓鱼解决方案,无法通过常规网络钓鱼攻击进行拦截。
加密平台遵守新规的期限是多久?
运营方有12个月期限来遵守新的身份验证要求。然而,大型网络券商必须立即切换到新方式,没有宽限期。
未能在合规期限前达标的公司将面临什么后果?
未能在期限前达标的公司将面临监管执法行动和声誉损害。此外,高级管理层可能因网络安全控制不足导致的客户损失而被直接追究责任——这一问责标准比此前指引更为严格。
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”香港对加密平台禁止了哪些登录方式?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”香港证券及期货事务监察委员会已禁止在加密货币交易平台登录和设备绑定中使用短信、电子邮件和应用程序的一次性密码。”}},{“@type”:”Question”,”name”:”取代一次性密码需要使用哪些身份验证方式?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”平台必须实施通行密钥、带有密码学验证的注册设备以及硬件安全密钥——证监会将这些方式描述为抗网络钓鱼解决方案,无法通过常规网络钓鱼攻击进行拦截。”}},{“@type”:”Question”,”name”:”加密平台遵守新规的期限是多久?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”运营方有12个月期限来遵守新的身份验证要求。然而,大型网络券商必须立即切换到新方式,没有宽限期。”}},{“@type”:”Question”,”name”:”未能在合规期限前达标的公司将面临什么后果?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”未能在期限前达标的公司将面临监管执法行动和声誉损害。此外,高级管理层可能因网络安全控制不足导致的客户损失而被直接追究责任——这一问责标准比此前指引更为严格。”}}]}
本文在人工智能协助下完成,并由编辑团队审核。

