Elon Musk 的 X 正推出一項安全功能,將自動鎖定任何首次提及加密貨幣的帳戶 —— 在恢復發文前需要進行額外驗證 —— 這是針對一波利用社交信任來推廣詐騙代幣的帳戶劫持活動的直接回應。

自動鎖定功能會在帳戶首次發布加密貨幣相關貼文時觸發。一旦觸發,帳戶將被鎖定,用戶必須完成驗證才能重新獲得存取權限。Bier 將其描述為針對核心攻擊途徑:駭客透過釣魚郵件獲得帳戶存取權限,鎖定原始擁有者,並利用該帳戶已建立的追蹤者信任來推廣詐騙代幣、假贈品和迷因幣。

功能介紹

「這應該能消除 99% 的誘因,」Bier 在回應一位用戶描述如何因偽裝成版權侵權通知的釣魚攻擊而失去個人檔案控制權時寫道。攻擊者使用了像素級完美的假登入頁面來收集用戶的憑證和雙重驗證碼,然後將其鎖定並開始進行詐騙推廣。

針對目標

自該平台還是 Twitter 時代以來,X 上與加密貨幣相關的帳戶劫持一直是一個有記錄且持續存在的問題。自動鎖定功能建立在平台早期為消除提及垃圾訊息活動和用於加密貨幣推廣的協調帳戶行為所做的努力之上。從未發布過加密貨幣相關內容的長期用戶在首次發布此類貼文時將面臨驗證,而 Bier 表示,合法帳戶可以透過此流程快速重新獲得存取權限。

Bier 還公開批評 Google 允許釣魚郵件透過 Gmail 送達用戶。「Google 根本沒有採取任何措施來阻止釣魚,」他寫道 —— 將自動鎖定功能定位為平台層級的變通方案,以應對 X 無法直接控制的上游漏洞。

美國聯邦貿易委員會記錄了社交媒體加密貨幣詐騙如何激增為一個數十億美元的問題,由於鏈上轉帳的不可逆性,受害者往往無法追回資金。這種結構性現實使得擁有既定追蹤者信任的被劫持帳戶對攻擊者來說極具價值 —— 而自動鎖定功能正是透過切斷帳戶存取權限與透過加密貨幣推廣立即變現之間的連結來直接針對這一點。

限制

批評者指出,此措施僅在帳戶已經透過釣魚遭到入侵後才介入。如果電子郵件供應商不能在上游更好地過濾釣魚郵件,攻擊鏈仍將保持完整。該功能也可能為已建立帳戶的合法首次加密貨幣貼文帶來摩擦,儘管 Bier 表示真實用戶的驗證流程將很簡短。

儘管近幾個月來更廣泛的加密貨幣駭客攻擊和釣魚損失已顯示改善 —— 2026 年 2 月錄得自 2025 年 3 月以來最低的月度總額 —— 本週價值 2.85 億美元的 Drift Protocol 攻擊事件是一個強烈提醒,表明標題風險仍然很高。X 的新功能解決了更大的加密貨幣相關詐騙生態系統中一個特定且大量的攻擊途徑。