一句话定义
提币白名单(Withdrawal Whitelist / Address Whitelist)是中心化交易所提供的一个账户级开关:开启后,你只能往事先登记并通过验证的地址列表里提币,其他任何地址 —— 哪怕是合法地址、哪怕你点了"确认"—— 系统一律拒绝。币安、OKX、Coinbase、Kraken 这些主流 CEX 都有。
为什么它救命
正常情况下,提币只需要二次验证(邮箱验证码 + 2FA + 短信)。但 2FA 也会被骗:钓鱼站精准复刻交易所界面诱你输验证码、SIM swap 攻击劫持你的短信、API key 被偷后绕过登录直接调用提币接口。攻击者拿到提币权限后,第一件事就是把你的币提到他控制的地址。
开启提币白名单后,这条路被切断。攻击者就算拿到了你的 2FA,他想加一个新提币地址、必须经过冷静期(24~72 小时)+ 邮箱验证 + 风控审核 —— 这给了你时间发现异常、给了平台时间风控介入。币安官方安全建议里把提币白名单和 硬件 2FA / Passkey 列为账户安全的两大基石。
怎么用
三步。一 · 加白名单地址。在账户设置里找"提币白名单"或"地址管理"。新增地址需要:选币种和网络、贴入地址、起个备注名、邮箱验证码 + 2FA。二 · 等冷静期。主流 CEX 对新加白名单地址有 24~72 小时冷静期,期间不可提币 —— 这是给你和平台双重缓冲。三 · 开启"仅白名单"开关。设置里有个"只允许提到白名单地址"的开关,打开它。不打开的话,白名单只是"快捷地址簿",不起拦截作用。
关键操作之一:从交易所提到自托管钱包(看 CEX 风险)时,先小额测试(看 USDT 转错链能追回吗),到账后再把这个钱包地址加白名单 —— 永远在"已验证过转账可达"之后加白名单,不要凭信任加。
边界
三个要注意。一 · 跨链时白名单按"币种+网络"绑定,BTC 主网和 BTC Lightning 是两个独立白名单条目;ERC20-USDT 和 TRC20-USDT 也算两个。二 · 攻击者如果完全攻陷你的邮箱(账户密码 + 2FA 都丢),有可能在冷静期里完成"加白名单 → 等待 → 提币"全套 —— 这就是为什么邮箱本身必须用强密码 + 硬件密钥,看 2FA 与 Passkey。三 · 跟 KYC 一样,白名单也帮平台兜底它的 AML 责任 —— 你的提币流向被平台记录在案。
挑 CEX 时,"是否支持白名单 + 冷静期长度 + 是否可选'仅白名单'模式"应该作为安全维度的标配项,详见 交易所评估手册。