导言 · 被盗的账户,多半死在没设的开关上
我在读者群里收到过不少「账户被盗」的求助。复盘下来,绝大多数不是密码被暴力破解 —— 币安登录本来就叠了好几层风控。真正出事的环节几乎都一样:一封几可乱真的假邮件、一个搜索广告里排最上面的假官网、一次在陌生电脑上没退干净的登录。攻击者根本不需要「黑进」币安,他只要骗过你这一个人。
所以账户安全的正确思路,不是「设一个最强的密码」,而是「叠很多道门」。每一道单独看都拦不住所有攻击,但叠在一起,攻击者要连续骗过好几关才能得手,难度是指数级往上翻的。这就是纵深防御。
下面这七道防线,从注册那一刻就能设的最基础一层,排到提币前最后的手动核对。全部设完大概花你二十分钟,之后基本一劳永逸。币安官方也整理过一份《五种方法提高币安账户的安全性》,可以对照着看,下面这版更细,也补上了官方文档一带而过的几个坑。
没有哪一道防线是「万能锁」。防钓鱼码挡邮件钓鱼、白名单挡盗号后转账、2FA 挡撞库登录 —— 它们各管一段。把七道都设上,才叫纵深。
第一道 · 独立的邮箱和一串没重复用过的密码
这是最不起眼、也最容易被跳过的一层。很多人的币安账户,用的是那个到处注册都在用的邮箱,配一个和别的网站共用的密码。问题在于:只要你在任何一个网站上的密码泄露过 —— 而每年都有大量网站被拖库 —— 攻击者就会拿着这套「邮箱 + 密码」,去各大交易所挨个「撞」一遍。这叫撞库,是最廉价也最高效的一种攻击。
两个动作把这层补上。一是给交易所准备一个几乎不对外的专用邮箱,不拿它去注册乱七八糟的网站、也不公开在社交平台。二是用密码管理器生成一串只在币安用过这一次的长密码,别自己「想」一个 —— 人脑想出来的密码都太有规律,早被字典跑烂了。
顺带说清一个概念:登录密码本身不算二次验证。密码只是第一道门,后面几道才是真正拉开安全差距的地方。
第二道 · 双重验证 · 把短信换掉
双重验证(2FA)你大概率已经开了。这里要说的不是「开没开」,而是「用哪一种」。
如果你现在的 2FA 是短信验证码,请把它降级成备用,换一种更硬的方式当主力。短信最大的软肋是 SIM Swap:攻击者用社工手段拿到你的身份信息,跑去运营商那里「补办」一张你的手机卡。卡一旦被移植走,你收不到验证码,对方却能收到 —— 短信 2FA 当场失效。这类攻击在币圈早就不是新鲜事。
更稳的顺序,从下往上:验证器 App 的动态码(TOTP),比如 Google Authenticator、Authy,码存在你手机本地,和手机号无关;再往上是 Passkey 和 硬件安全密钥(比如 YubiKey),把登录凭据绑在一块物理设备上,钓鱼网站根本骗不走。币安这几种都支持。
这一层的原理我在另外两篇里拆得更细:《2FA 的真相 · 为什么短信不安全》把四种二次验证排了个真实安全等级,《Passkey 是什么 · 90 秒入门》讲清 Passkey 到底强在哪。名词不熟可以先翻一眼词条:2FA、Passkey。
开 TOTP 的时候,币安会给你一串十几位的密钥备份(有的界面叫「密钥」或「恢复码」)。一定要把它单独抄下来存好。手机丢了、App 被误删,就靠这串备份才能在新设备上恢复验证器。只截图存在同一部手机里,等于没备份。
第三道 · 防钓鱼码 · 一秒识破假邮件
防钓鱼码是币安一个被严重低估的功能,设置只要一分钟,却能挡掉最常见的一类攻击 —— 假冒官方邮件。
它的逻辑很巧:你自己设一串字符(比如一个只有你知道的词加几个数字),设好之后,币安发给你的每一封官方邮件里都会带上这串码。而骗子群发的假邮件 —— 那种「你的账户存在异常登录,请点击链接验证」—— 根本不知道你设的是什么,自然带不出来。于是识别真假只剩一个动作:看这封邮件里有没有你设的那串码。有,是真的;没有,直接删。
设置入口在币安网页端或 App 的账户安全 / 高级安全设置里,找到「防钓鱼码」开启、输入一串你记得住又不好猜的字符即可,要求通常是 4 到 20 个字符、不含特殊符号。记住一点:防钓鱼码只出现在币安发给你的邮件里,任何人(包括自称官方客服的)主动来问你的防钓鱼码,都是骗子。
第四道 · 提现地址白名单
前面几道拦的是「别让人登进来」。可万一还是被登进来了呢?白名单就是这道兜底 —— 让盗号者即使进了你的账户,也把币转不走。
开启提现白名单后,你的账户只能把币提到事先加进白名单、并通过验证的地址。常用的那几个收款地址(你自己的钱包、你另一个交易所的充值地址)一次加好,日常提币照常。但攻击者盗号后最想干的事 —— 临时往一个陌生新地址转走一大笔 —— 会被直接卡死:那个陌生地址不在白名单里,而新增白名单地址本身又要再过一遍 2FA 和邮件确认,还有冷静期。
配套还有两个开关值得一起打开。一是白名单地址安全限制:新加的地址会被强制冻结一段时间才能提币,给你留出发现异常的窗口。二是要不要开快捷提币(向白名单地址小额提币免二次验证)—— 这个见仁见智,图方便可以开,但会牺牲一点安全,我个人偏向不开,宁可每次多验证一下。名词不熟可以翻提现白名单词条。
我自己的账户是把常用的三四个地址加进白名单后,就一直开着限制。有一次我在一台不常用的电脑上登录,浏览器插件明显不太对劲,我当下最踏实的一点就是:就算这台机器有问题、就算登录态被人拿走,对方也只能把币转到我自己那几个白名单地址里去,转不到别处。那种「最坏情况也坏不到哪去」的确定感,就是白名单给的。
第五道 · 设备、会话与第三方授权
账户安全不只是「登录的那一刻」,还包括「登录之后留下的痕迹」。币安的安全设置里有几处清单经常被忽略,值得每隔一段时间去看一眼。
设备管理 / 登录设备:列出所有登录过你账户的设备。看到不认识的、或早就不用的旧手机旧电脑,直接移除。账户活动 / 登录记录:能看到近期的登录时间、IP、地区,有对不上的立刻改密码再排查。第三方 API 密钥:如果你用过量化脚本、跟单工具、行情插件,它们多半申请过你的 API Key。不用了的一定删掉 —— 一把还开着提现权限的旧 API Key,是很多人自己都忘了的后门。
这里的思路和链上钱包的「授权管理」是一回事:权限会累积,但很少有人回头清理。链上那边,旧的代币授权同样是被掏空的暗门,方法在《代币授权检查与撤销完全指南》里;交易所这边,就是定期清设备、清 API、清会话。
第六道 · 反钓鱼的操作习惯
前五道是「设置」,设一次就好。这一道是「习惯」,得天天带着。因为再多的开关,也架不住你自己主动把门打开 —— 绝大多数被盗,最后都是本人在假页面上输了真信息。
- 永远从书签进官网,不靠搜索。搜索广告位常年有人买假域名投放,排在最上面那个「币安官网」很可能是钓鱼站。第一次手动敲对域名、加进书签,以后只走书签。
- 不点邮件、短信、私信里的链接去登录。要操作账户,永远自己打开书签里的官网,而不是点别人给你的链接。配合第三道的防钓鱼码,假邮件基本无处遁形。
- 官方不会主动打电话、私聊让你操作。任何自称币安客服、让你「转账到安全账户」「报屏幕上的验证码」「装个远程软件配合调查」的,一律是骗局。真实剧本可以看这个案例:假冒币安客服来电。
钓鱼的花样远不止这几种。假空投、假授权弹窗、假 App、假客服,2026 年常见的那些套路,我整理在《钓鱼诈骗全图谱 · 2026 版》里,每一类配一个真实案例和一个识别要点,建议配合本文一起读。
第七道 · 提币前的两步核对
最后一道,落在你真正动钱的那一刻 —— 提币。前面六道防的是账户,这一道防的是「你自己手抖」。链上交易一广播出去就不可逆,没有客服能帮你追回(为什么,可以看提币地址输错能不能找回)。所以提币前雷打不动做两件事。
一,地址逐位核对。粘贴地址后,别只扫一眼觉得「差不多」,要核对开头几位和结尾几位是不是完全一致。有一类剪贴板木马专门盯着加密地址:你复制的是自己的地址,粘贴出来却被悄悄换成了攻击者的。人工核对前后几位,就是防这一手。
二,先小额测试。第一次往一个新地址提币,先转个几美元等值的小额,等它到账、确认地址没错,再发大笔。这几块钱的手续费,是买一份「没转错」的安心,别省。
提币还有一个高频翻车点是选错网络 —— 同一个币在不同链上是不同的合约,网络选错可能到不了账。这块我单独讲过:《USDT 转错链能追回吗?》。核对地址时,顺手把「网络」也核一遍。
为什么把「提币」也算进账户安全?因为它是资产从交易所走向你自己掌控的关键一步。账户设置做得再好,钱还在平台手里,就还没真正落进你自己口袋。这也引出最后一层认知。
七道防线一览表
把七道防线放进一张表,一眼看清每道各挡什么、大概花多少时间。建议对着币安的安全设置页,一项一项打勾。
| 防线 | 主要挡住的风险 | 大致耗时 |
|---|---|---|
| 独立邮箱 + 唯一密码 | 撞库、密码复用 | 约 10 分钟 |
| 双重验证(换掉短信) | 撞库登录、SIM Swap | 约 5 分钟 |
| 防钓鱼码 | 假冒官方邮件 | 约 1 分钟 |
| 提现地址白名单 | 盗号后转走资产 | 约 5 分钟 |
| 设备 / 会话 / API 清理 | 遗留登录、旧 API 后门 | 定期几分钟 |
| 反钓鱼习惯 | 假官网、假客服、假链接 | 养成习惯 |
| 提币两步核对 | 地址错、网络错、剪贴板木马 | 每次一分钟 |
表里的耗时只是给你一个心理预期,具体入口和选项名称以币安官方页面为准 —— 各版本 App 和网页端的菜单位置偶尔会调整。设置时如果找不到某一项,直接在币安帮助中心搜对应关键词最快。
常见问题
币安一定要开防钓鱼码吗?不开有什么风险?
强烈建议开。防钓鱼码是你自己设的一串字符,开启后币安发给你的每一封官方邮件都会带上它。骗子群发的假邮件不知道这串码,自然带不出来——你只要瞄一眼有没有你设的那串字符,就能一秒识别真假邮件。不开的风险是:假的「账户异常,请点此验证」邮件和真邮件长得一模一样,你很难分辨。它拦不住所有攻击,但把最常见的邮件钓鱼挡在门外,成本只是花一分钟设一串你记得住的字。
开了提现白名单,急用钱想提币会不会很麻烦?
不会,但要提前设好。白名单的逻辑是:只有你事先加进列表并通过验证的地址,才能提币过去。常用的那几个地址一次加好,之后提币照常、几乎无感。真正被拦住的是「临时往一个陌生新地址提一大笔」——而这恰恰是账户被盗后骗子最想干的事。如果你偶尔要转到新地址,可以临时关掉白名单、转完再开回来,多花的只是几十秒。安全和便利之间,白名单是性价比很高的一档。
短信验证码(SMS 2FA)到底还能不能用?
能用,但别把它当主力。短信验证怕的是 SIM Swap——有人拿你的身份信息去运营商补办你的手机卡,你的号一旦被移植过去,短信验证码就直接进了对方手机。更稳的做法是用验证器 App 生成的动态码(TOTP),或者更进一步用 Passkey、硬件安全密钥。短信可以留着当备用验证方式,但账户的主二次验证,尽量换成不依赖手机号的那种。
币安的安全设置都做全了,把币放在交易所是不是就安全了?
把账户设置做全,能挡住绝大多数针对「你这个人」的攻击——被钓鱼、被盗号、被社工。但它挡不住平台层面的风险:交易所自身出问题、被监管冻结、极端行情下暂停提现。所以老规矩还是那句「不是你的私钥,就不是你的币」。日常要用、要交易的钱放交易所很正常;打算长期不动的大额,更稳妥的做法是提到你自己掌握私钥的钱包里。两者不冲突,是分工。
写在最后
账户安全没有「一招制敌」,它是七道普通开关叠出来的纵深。单看每一道都平平无奇,但攻击者要连续骗过邮箱、2FA、防钓鱼码、白名单好几关才能得手 —— 绝大多数骗局在第三、第四道就被拦下了。
如果你今天只做一件事,就先去开防钓鱼码:一分钟,收益最高。然后有空了,按这七道顺序一道道补齐。
把七道防线设上,你挡住的是针对「你这个人」的攻击。但要挡住平台层面的风险,还得记住那句老话 —— 不是你的私钥,就不是你的币。交易所是入口,不是保险柜。
关于「哪些钱适合放交易所、哪些该提到自己钱包」,我在《冷钱包 vs 热钱包 · 一张图说清》里讲了一套分仓思路;想系统判断一家交易所值不值得托管,看《交易所评估手册》。