Nexo 安全机制详解,以及如何强化账户安全

May 141 min read

加密货币安全是共同责任。 平台已部署多项措施——基础设施管控、欺诈检测、加密技术——但账户风险中相当一部分来自用户端:密码强度不足、点击未经验证的链接、地址在不知情的情况下被篡改。

本文涵盖这两个方面。 介绍 Nexo 在后台运行的机制、独立审计方所验证的内容,以及您可以自行启用哪些功能,让账户更难被攻破。

后台运行的机制

这些功能默认启用。 无需任何配置或启用——每个账户、每笔交易均自动生效。

反诈骗引擎

Nexo 上的每笔提款都会经过自动化反诈骗引擎的实时分析,确保资金离开平台前完成检测。 一旦发现异常——地址与已知诈骗活动相关、交易模式异常、目标地址与历史行为不符——系统将以通俗易懂的语言提示相关风险。 无专业术语,无模糊警告。 在极少数高风险情况下,交易可能会被短暂暂停以供审核。

该引擎在后台静默运行。 大多数用户不会察觉到它的存在。 这正是它的设计初衷。

加密

平台上传输中及静态数据均受 AES 256 位 SSL 加密保护——与全球金融机构和大型云基础设施所采用的标准相同。

独立审计

Nexo 的基础设施已针对多项国际公认安全框架完成独立审计,且每年更新:

  • SOC 2 Type 2 — 运营安全控制与流程
  • SOC 3 — SOC 2 审计的公开摘要
  • ISO 27001 — 信息安全管理
  • ISO 27017 — 云专项安全控制
  • ISO 27018 — 云端个人身份信息保护
  • CSA STAR Level 1 — 云安全保障

上述审计由独立第三方定期执行。

您可以启用的功能

平台端负责基础设施和交易层面的安全。 无法覆盖的是您的账户访问安全——这取决于您的设置方式。 以下功能面向所有用户开放,配置只需几分钟。

双重身份验证 (2FA)

2FA 在登录时增加第二步验证。 在 Nexo 上,同样的验证方式——短信、电子邮件或验证器应用程序——也适用于敏感操作:提款、地址簿编辑以及安全设置变更。 因此,即使有人获取了您的密码,没有第二重验证也无法转移资金或修改设置。

验证器应用程序(如 Google Authenticator 或 Authy)比基于短信的 2FA 更安全。 短信易受 SIM 卡交换攻击,攻击者可说服您的移动运营商将您的号码转移至其控制的 SIM 卡。 如果您目前使用短信 2FA,切换到验证器应用程序只需两分钟,非常值得。

启用方式:前往安全设置,选择您偏好的 2FA 方式。

重要提示:2FA 能显著降低未经授权访问的风险,但并非绝对保障。 请将恢复码妥善保存——如果在没有备份的情况下失去对 2FA 设备的访问权限,可能导致账户被锁定。

反钓鱼代码

钓鱼攻击——伪装成 Nexo 发出的虚假电子邮件——是加密货币领域最常见的攻击方式之一。 反钓鱼代码是您自行设置的个人字符串,会显示在 Nexo 每封正规电子邮件的页脚处。 如果一封声称来自 Nexo 的电子邮件中没有您的代码,则该邮件并非来自 Nexo。

设置方式:打开 Nexo 应用程序轻触个人资料 安全 & 设置反钓鱼代码 → 输入您选择的代码。

设置完成后,任何不含您代码的 Nexo 电子邮件均应视为可疑——无论看起来多么真实。

地址白名单

加密货币中较为隐蔽的攻击方式之一是地址替换——恶意软件在不被察觉的情况下,将复制的提款地址替换为攻击者控制的地址。 如果在确认前没有逐字符核验完整地址,您可能根本不会注意到。

地址白名单功能将提款限定在地址簿中保存的地址(最多 500 个)。 您还可以为新添加的地址设置额外安全延迟——在新地址可用于提款前设置一个可配置的等待窗口期。 这关闭了替换窗口:即使攻击者临时获取了账户访问权限,也无法立即向新地址提款。

启用方式:前往安全设置,开启地址白名单功能。

渠道验证器

在与任何声称属于 Nexo 的电子邮件地址、社交媒体账号或 URL 进行互动之前,您可以在 nexo.com/channel-validator 进行验证。 如果在验证器中查不到,则该渠道并非 Nexo 官方渠道。

这对社交媒体尤为实用——X、Telegram 和 Discord 上冒充 Nexo 的虚假账号十分常见,通常会假扮客服人员或发起虚假推广活动。

Nexo 绝不会做的事

以下几点值得了解,因为掌握这些信息有助于更容易识别社会工程攻击:

  • Nexo 绝不会索要您的密码或 2FA 验证码
  • Nexo 绝不会要求您通过聊天、电子邮件或短信授权交易
  • Nexo 绝不会通过短信向您发送登录链接

如果任何自称来自 Nexo 的人员做出上述任何行为,那并非 Nexo。 您可以通过 support.nexo.com/contact 向客户关怀团队举报可疑活动。

账户安全的真正来源

没有任何平台能消除所有风险。 上述措施——无论是平台端基础设施还是用户端功能——的作用是缩小攻击面,让您的账户大幅提升被攻破的难度。

基础设施负责处理用户无法看到或控制的层面。 用户端功能则负责平台无法覆盖的部分——因为无论后端安全做得多么完善,都无法阻止掌握您凭证的攻击者,也无法阻止点击钓鱼链接的用户。

通过验证器应用程序设置 2FA、启用反钓鱼代码并开启地址白名单,全程不超过 10 分钟。 这是大多数用户尚未采取的、安全回报最高的操作。

如需了解常见威胁及防御方法的完整概述,请参阅 常见安全威胁及应对方法

常见问题

1. 反诈骗引擎是什么,它如何运作? 

这是一个自动化系统,在资金离开平台前对每笔提款进行实时分析。 如果某笔交易看起来可疑——基于目标地址、交易模式或其他信号——系统将以通俗易懂的语言进行说明。 在极少数高风险情况下,交易可能会被短暂暂停。 该系统默认运行,无需任何配置。

2. 短信 2FA 和验证器应用程序有什么区别? 

两者均在登录时增加第二步验证。 短信 2FA 容易受到 SIM 卡交换攻击,攻击者可说服您的移动运营商将您的号码重新分配至其控制的 SIM 卡。 验证器应用程序在您的设备本地生成验证码,不与手机号码绑定,因此对此类攻击具有更强的抵御能力。

3. 如果我收到一封声称来自 Nexo 的可疑电子邮件,该怎么办? 

检查邮件页脚是否包含您的反钓鱼代码——如果没有,则该邮件并非来自 Nexo。 您也可以在 nexo.com/channel-validator 验证任何电子邮件地址、社交媒体账号或 URL。 请通过 support.nexo.com/contact 向 Nexo 客户关怀团队举报可疑信息。

4. Nexo 员工能否在未经我许可的情况下访问我的账户? 

Nexo 绝不会索要您的密码或 2FA 验证码,也绝不会要求您通过聊天、电子邮件或短信授权交易。 如果任何自称是 Nexo 客服的人员做出上述行为,那并非 Nexo。

5. 什么是地址白名单,我是否应该启用? 

地址白名单将提款限制为您在地址簿中预先批准的地址。 此功能还允许您为新添加的地址设置延迟,待延迟期过后方可使用。 这可防范地址替换恶意软件,并限制攻击者在临时获取账户访问权限后所能执行的操作。 如果您有固定的提款目标地址,建议启用此功能。

这些资料在全球范围内均可查阅,但该等资料的可得性并不代表能够使用所述服务。相关服务在部分国家/地区可能不可用。 本资料仅供一般信息参考之用,不构成任何财务、法律、税务或投资建议,亦非对任何 Nexo 服务的要约、招揽、推荐或背书。相关内容非个性化定制,未考虑任何特定投资目标、财务状况或个人需求。 数字资产具有高度风险,包括但不限于市场价格剧烈波动、监管政策变化以及技术更新迭代。 数字资产的过往表现并不代表未来结果。 数字资产并非货币或法定货币,不受政府或中央银行背书,且大多数数字资产不具有标的资产、收入来源或其他价值来源。 请结合个人情况进行独立判断,建议在作出任何决策前咨询合格专业人士。

本文所述安全措施反映了 Nexo 截至发布日期的基础设施及功能状态。 安全是一个持续演进的领域,没有任何系统能消除所有风险。 鼓励用户保持信息更新,积极参与保护自身账户。