Elon Musk 的 X 正在推出一项安全功能,该功能将自动锁定任何首次提及加密货币的账户——要求在恢复发帖前进行额外验证——这是对一波利用社交信任来推广诈骗代币的账户劫持活动的直接回应。

自动锁定功能在账户首次发布与加密货币相关的帖子时触发。一旦触发,账户将被锁定,用户必须完成验证才能重新获得访问权限。Bier 将其描述为针对核心攻击载体:黑客通过钓鱼邮件获得账户访问权限,锁定原始所有者,并利用该账户已建立的粉丝信任来推广欺诈性代币、虚假赠品和 memecoin。

该功能

"这应该能消除 99% 的动机," Bier 在回应一位用户讲述如何因伪装成版权侵权通知的钓鱼攻击而失去账户控制权时写道。攻击者使用了一个像素级完美的虚假登录页面来窃取用户的凭证和双因素认证代码,然后将其锁定并开始推广诈骗。

针对目标

自该平台还是 Twitter 时代以来,X 上与加密货币相关的账户劫持一直是一个有记录且持续存在的问题。自动锁定功能建立在平台早期消除提及垃圾信息活动和用于加密货币推广的协调账户行为的努力基础上。从未发布过有关加密货币内容的长期用户将在首次发布此类帖子时面临验证,而 Bier 表示,合法账户可以通过该流程快速重新获得访问权限。

Bier 还公开批评 Google 允许钓鱼邮件通过 Gmail 到达用户。"Google 在阻止钓鱼方面什么都没做," 他写道——将自动锁定功能定位为平台级别的变通方法,以应对 X 无法直接控制的上游漏洞。

美国联邦贸易委员会已记录了社交媒体加密货币诈骗如何激增成为一个价值数十亿美元的问题,鉴于链上转账的不可逆性,受害者通常无法追回资金。这种结构性现实使得具有既定粉丝信任的被劫持账户对攻击者如此有价值——而自动锁定功能正是通过切断账户访问与通过加密货币推广立即变现之间的联系来直接针对这一点。

局限性

批评者指出,该措施仅在账户已通过钓鱼被入侵后才进行干预。如果电子邮件提供商不在上游更好地过滤钓鱼邮件,攻击链仍然完整。该功能还可能为已建立账户的合法首次加密货币帖子造成摩擦,尽管 Bier 表示验证过程对真实用户来说将很简短。

尽管近几个月更广泛的加密货币黑客攻击和钓鱼损失有所改善——2026 年 2 月录得自 2025 年 3 月以来的最低月度总额——本周价值 2.85 亿美元的 Drift Protocol 漏洞利用事件是一个鲜明的提醒,表明头条风险仍然很高。X 的新功能解决了更大的加密货币相关欺诈生态系统中一个特定且高频的攻击载体。