2025年10月1日,BNB Chain 的英文官方 X(前身为 Twitter)账号遭遇劫持,近四百万名粉丝面临钓鱼链接的直接威胁。事件发生后,币安创始人赵长鹏(Changpeng "CZ" Zhao)在个人账号上发出紧急告示,提醒用户不要连接钱包或与任何可疑链接交互。BNB Chain 团队随后表示,已有安全团队与 X 平台沟通并着手恢复账号与下线恶意链接。最终,BNB Chain 宣布已找回账号控制权,并承诺对受害用户进行赔付。本次事件虽未造成本链大规模资金蒸发,但暴露出社交媒体账号被利用进行大规模定向钓鱼的严重风险,以及当前区块链生态在防护与响应机制上的若干短板。 攻击方式与技术细节:假域名与 WalletConnect 诱饵攻击本次黑客活动的关键在于域名置换与 WalletConnect 的滥用。
安全公司 SlowMist 的首席信息安全官 23pds 指出,攻击者通过替换域名中的字母,使恶意站点在视觉上极易欺骗普通用户。例如将字母 i 替换为 l(小写字母 L),让域名与官方域名在短时间内难以区分。恶意页面进一步伪装成 WalletConnect 授权提示,诱导用户将钱包与钓鱼站点连接。一旦用户通过 WalletConnect 授权,私钥并不直接泄露,但签名权限被滥用,攻击者即可发起转账或签署授权交易,从而实现"钱包抽干"(drain)操作。 与 Inferno Drainer 的关联及其运作模式研究显示,本次使用的钓鱼域名与臭名昭著的 Inferno Drainer 团伙相关联。Inferno Drainer 是一种"钓鱼即服务"(phishing-as-a-service)平台,自 2022 年出现以来逐步发展出成熟的代理网络与模板库,允许攻击者低成本部署高度仿真的项目网站界面与钱包授权流程。
通过这种服务化模式,攻击者只需少量技术门槛即可发动大规模行骗,受害者面广且难以追踪具体肇事者。 事件影响与损失评估BNB Chain 团队公布,被发布的钓鱼链接共计 10 条,涉及多个链路与钱包类型。初步统计显示,因该波攻击造成的直接经济损失约为 8000 美元,此类金额在加密世界并非巨额,但因伤害对象多为普通用户或小额持币者,损失分散且伴随信任危机。BNB Chain 表示将全额补偿受影响用户,但赔付虽然能恢复金钱损失,却难以弥补由此带来的品牌声誉与用户戒心。 社交媒体账号被侵入的根源分析官方账号被攻破通常不是单一技术漏洞导致,而常见原因包括社交工程、内部权限滥用、第三方工具或插件被攻破、弱口令或未启用强化身份验证等。SlowMist CISO 的评论指出,本次事件暴露了项目方在安全意识与账号管理流程上的不足。
即便是链上安全措施再完善,链外(尤其是社交平台)的一次失守就足以将数百万用户置于风险中。 用户应对策略与安全建议普通用户在面对官方或看似官方的社交媒体信息时,应保持高度警惕。首先,永远不要在可疑页面上执行 WalletConnect、私钥输入或任何形式的签名授权操作。签名请求可能以"解锁空投"、"领取空投奖励"或"参与质押"活动为诱饵,任何要求授权转移代币或批准合约的请求都应先行核实。其次,仔细检查域名与 URL。细小的字母替换、混淆字符或非标准顶级域名往往是钓鱼站点的显著特征。
再者,养成使用硬件钱包或仅在受信任的浏览器扩展与官方页面进行重要操作的习惯。硬件钱包可在签名时提供清晰的交易信息显示,降低被恶意合约欺骗的概率。最后,启用并维护最新的防钓鱼工具、浏览器防护扩展与安全插件,时常更新操作系统与钱包软件。 项目方与平台责任:多层次防护与事件响应BNB Chain 事件同时提醒所有区块链项目,社交媒体账号的安全应与项目安全治理并列为优先事项。项目方应采取多层次的账号保护措施,包括但不限于强制多因素认证(MFA)、使用企业级单点登录(SSO)与权限分级管理、定期审查与回收不再使用的管理员权限、限制第三方服务的访问范围以及对关键操作设定二次审批流程。社交平台方面,像 X 这样的公司应持续优化其受验证账号保护机制,提供更严格的账号访问与敏感操作审批流程,同时在发现账号异常活动时能更快速地冻结发布权限并协助溯源。
事件通报、溯源与法律追责在遭遇社交账号被侵害时,快速透明的通报机制能减少更多损失。BNB Chain 团队在事件发生后快速向公众通告并与 X 平台沟通,提交了针对钓鱼站点的下线请求。与此同时,保存全部日志、截图与相关链上交易记录,对后续的溯源调查与法律追责至关重要。公安机构、国际网络安全组织与链上分析公司通常需要这些证据来追踪资金流向与涉案地址,尽管在去中心化生态中追责并不总是能立即取得实质性成果。 赔付与信任修复:短期补偿与长期预防的平衡BNB Chain 表示将对受影响用户进行全额赔付,这种做法在短期内能缓解用户的直接经济损失并展现项目的责任担当。然而,重复发生类似事件只靠赔付难以重建长期信任。
项目方应把赔付作为应急反应的一部分,同时投入更多资源在教育用户、强化社交账号管理、与第三方安全伙伴建立联防机制以及推动行业内可追溯的应急演练。通过定期公开安全审计报告、透明披露事件处理流程与改善措施,才有助于长久恢复社区信心。 对 WalletConnect 与去中心化身份签名机制的反思WalletConnect 等连接协议为钱包与去中心化应用(dApp)之间提供了便利,但也带来了新的滥用风险。协议本身并不泄露私钥,但授权机制可以被恶意合约利用以获取交易签名权限。社区应推动更细粒度的签名权限控制、更明确的签名内容可视化与更安全的 UX 设计,确保用户在签名前能充分理解将要执行的操作。此外,钱包开发者应加强对可疑合约的提示、交易金额阈值警报以及黑名单机制的实现,减少误签导致的损失。
行业合作:建立更有效的黑名单与域名拦截体系单个项目或平台的努力往往不足以阻止钓鱼即服务平台的蔓延。行业需要建立跨平台的黑名单共享机制、与域名注册机构合作以快速冻结恶意域名,并推动主要托管商与 CDN 服务对明显钓鱼站点进行下线协作。交易所、钱包服务商与区块链安全公司应形成联动,当发现新的钓鱼模式时能在第一时间阻断传播链路并通知潜在受害者。 对普通用户的紧急救援指南若不慎与钓鱼站点连接或授权,需立即断开连接并采取下列措施尝试最小化损失。首先,快速将相关钱包转移至新的地址,撤销任何不必要或可疑的合约授权。许多钱包管理工具与治理平台提供"撤销授权"选项,用户应尽快使用。
其次,若发现资金被转移,应保存所有证据并立即向钱包提供商、交易所与项目方报备,同时在社交媒体上公开预警以提醒他人。再次,向区块链安全公司或专业的链上分析机构寻求帮助,他们可协助追踪资金流向并尝试冻结可疑资产。最后,保留交易哈希、签名请求截图与所有相关通信,便于后续索赔或法律程序。 结语BNB Chain 官方 X 账号被攻破的事件提醒整个加密生态:区块链本身虽强调去中心化与安全性,但围绕它的社交层面、管理层面与人性弱点依旧是最容易被攻破的环节。单一技术防御无法完全杜绝因社交工程导致的损失。项目方、社交平台、安全公司与用户必须共同构建一套从预防、检测到响应的完整安全生态。
短期内,用户需提高安全意识并遵循严格的操作习惯;中长期,行业需要通过制度化的权限管理、跨平台协作与技术改进来降低钓鱼即服务平台的破坏力。BNB Chain 事件虽以相对有限的金钱损失收场,但它为所有生态参与者敲响了警钟:在数字资产世界,信任的链条任何一节断裂都可能引发连锁效应。希望通过不断的警示、改进与合作,能让类似事件逐步减少,保护用户资产与行业声誉。 。
