大陆用户为什么会装第三方 APK
因为没得选。Google Play 在大陆没有正常服务,App Store 中国区不上架币安 App。用户想装 Binance 只剩三条路:APK 站、朋友圈「内部链接」、搜索引擎广告位。前两条几乎全部是钓鱼版,第三条钓鱼率也超过一半。这就是大陆币安用户长年面对的结构性陷阱 —— 不是用户不警惕,是渠道本身就坏。
老吴是怎么用了 9 天没察觉的
2025 年 5 月 30 日,郑州读者老吴在 360 搜「币安 App 下载」,进入 binance-app-cn[.]com 站点,下载 Binance_v2.71_zh.apk。APK 签名提示「未知来源」他点允许。App 启动后界面完全跟真币安一样,他用 web 老账户登录,能看见 19 万 USDT 余额、能正常充提币 —— 因为那 App 是真币安 H5 套了个壳,所有数据都从真币安服务器拉,只是中间多了一层中间人。
他用了 9 天没事。第 10 天早上发现账户被清空。事后查清楚:他输账密时被中间人截获,2FA 被钓鱼版自动转发给攻击者。攻击者拿到账密后用另一台设备登录、添加新提币白名单(同样靠 2FA 转发通过)、然后凌晨分多笔 0.5-1 万 USDT 划走 —— 单笔不大避免触发风控。等币安系统反应过来冻结时,已划走 9 成。
真正的下载路径只有两条
第一条:用 VPN 上 binance.com 官网,下载链接在底部「App 下载」区。下载后 APK 签名指纹(SHA-256)与官网公布的一致才装 —— Windows 用 certutil -hashfile,Mac 用 shasum -a 256。
第二条:用 Apple ID 切到香港 / 美区 / 新加坡区,从 App Store 装。这条路对 iOS 用户友好,对 Android 用户没用。
大陆下载 Binance App 的 5 条避坑指南
- 第三方 APK 站、搜索引擎广告位、朋友圈「内部链接」 —— 100% 假定不可信
- APK 签名指纹与官网公布的 SHA-256 不一致 —— 直接删
- App 装完要「读取短信」「读取通讯录」权限 —— 真币安不要这些
- App 内余额跟官网同账户登录看到的不一致 —— 假壳常见症状
- 下载来源是搜索引擎广告位 —— 这些位置充斥钓鱼站
你能给自己做的最强护栏
双账户隔离。一个本人 KYC 的主账户做充提和大额、一个无 KYC 或副 KYC 的副账户做日常交易和 API。两个账户在不同设备、不同邮箱、不同手机号。主账户的提币白名单只允许自己控制的硬件钱包地址。这样即使副账户被钓,损失能控制在副账户余额内,主账户大头资金安全。
已经被钓了
立即在另一台干净设备登录币安网页版,重置密码、重置 2FA、添加提币白名单只允许自己地址、申请暂停提币 24 小时。已划走的资金按《私钥泄露应急 · 五步抢救流程》后半「如果没救回」流程走。
同步报案 96110。老吴的案子最后追到东南亚一个交易所地址,但跨境法律协助极难,链上分析停在那一步。这是大陆用户被钓的典型结局 —— 链上很容易追,跨境很难追回。
「我以为 APK 签名提示『未知来源』就是『稍微有点风险』。装完没事我就放心了,9 天后才知道,那个 9 天是攻击者攒证据的窗口。」