埃隆·马斯克的 X 正在推出一项安全功能：凡是第一次提及加密货币的任何账户都会被自动锁定——在发帖恢复之前需要额外验证——这是对一波账户劫持行动的直接回应。那些行动利用社交信任来推广诈骗代币。

摘要

• X 产品负责人 尼基塔·比尔（Nikita Bier）证实了自动锁定功能，并表示该功能瞄准的是加密钓鱼攻击背后的金融激励，这类攻击发生在该平台上
• 该举措是在账户劫持事件激增之后推出，包括 4 月 1 日对 Predictfully 创始人 本杰明·怀特（Benjamin White）账户的泄露事件。该事件被用于推送诈骗内容，并从真正的账户所有者那里勒索 4,000 美元
• 比尔估计，该功能应当能消除当前钓鱼行动中 99% 的激励，并点名谷歌未能在 Gmail 层面阻止钓鱼邮件

自动锁定会在某个账户出现其有史以来首次发布与加密货币相关内容时触发。触发后，账户将被锁定，用户必须完成验证才能重新获得访问权限。比尔将其描述为瞄准核心攻击路径：黑客通过伪装成钓鱼邮件的诱导获得账户访问权限，锁住原始所有者，并利用账户已建立的粉丝信任来推广欺诈代币、虚假抽奖和 memecoins。

该功能

“这应该能消灭 99% 的激励，”比尔在回应一位用户的描述时写道：该用户讲述自己如何在一次伪装为版权违规通知的钓鱼攻击中失去对个人资料的控制。攻击者使用了像素级完美的假登录页面来窃取用户的凭据以及双重身份验证代码，然后在将其锁出之后开始进行诈骗推广。

这针对什么

X 上与加密货币相关的账户劫持一直是一个被记录且持续存在的问题，自该平台还是 Twitter 之时就已如此。自动锁定是在此前为消除“提及垃圾信息”与用于加密币推广的协同行为而采取的平台工作基础上继续推进的。比尔指出，从未发布过任何加密货币相关内容的长期用户，在首次发布此类内容时将面临验证；而合法账户则可以通过这一流程更快地恢复访问。

比尔还公开批评谷歌让钓鱼邮件通过 Gmail 送达用户。“谷歌根本没在做任何事来阻止钓鱼，”他写道——并将自动锁定定位为针对上游漏洞的平台级替代方案，因为 X 无法直接控制这一漏洞。

美国联邦贸易委员会（FTC）已记录：社交媒体上的加密骗局已激增为一个数十亿美元级别的问题，受害者往往无法追回资金，因为链上转账不可逆。正是这种结构性现实，使得那些带有已建立粉丝信任的被劫持账户对攻击者尤其有价值——而自动锁定通过切断“账户访问”与“通过加密币推广立即变现”之间的联系，直接瞄准了这一点。

限制

批评者指出，该措施只会在账户已经通过钓鱼被攻陷之后才介入。如果邮件服务提供商在上游对钓鱼邮件的过滤做得不够好，攻击链条仍将保持完整。该功能也可能对已有账户中首次发布加密货币内容的真实用户造成摩擦，不过比尔表示，对真正的用户来说，验证流程会很简短。

随着更广泛的加密黑客与钓鱼损失在近几个月有所改善——2 月的每月总额是自 2025 年 3 月以来最低的一次——本周 285 million Drift Protocol 的漏洞利用是一个尖锐提醒：头条层面的风险仍然很高。X 的新功能是在一个更大规模、包含加密关联欺诈的生态系统中，针对某一个特定且高频的攻击路径。