Nexo 的安全機制如何運作,以及如何強化您的帳戶
May 14•1 min read
加密貨幣的安全是共同責任。 平台會建立各種防護措施——基礎設施管控、詐騙偵測、加密——但帳戶風險有一大部分可能來自使用者端:密碼薄弱、點擊未經驗證的連結,以及在不知情的情況下遭到替換的地址。
本文章涵蓋這兩個面向。 包括 Nexo 在背景運行的機制、獨立審計人員驗證的內容,以及您可以自行啟用的功能,讓帳戶更難被攻破。
在背景運行的機制
這些功能預設即啟用。 無需任何設定或啟用——每個帳戶、每筆交易都自動受到保護。
反詐騙引擎
Nexo 上的每筆提領都會通過自動化反詐騙引擎,在資金離開平台前即時分析交易。 一旦發現異常——例如與已知詐騙活動相關的地址、不尋常的交易模式,或與過往行為不符的提領目的地——系統將以簡明易懂的語言提示相關疑慮。 沒有術語,沒有模糊的警告。 在極少數高風險情況下,交易可能會暫時暫停以供審查。
引擎在背景靜默運行。 大多數使用者永遠不會遇到它。 這正是它的用意所在。
加密
平台上傳輸中及靜止狀態的資料均受 AES 256 位元 SSL 加密保護——這與全球金融機構及大規模雲端基礎設施所採用的標準相同。
獨立審計
Nexo 的基礎設施依照一系列國際公認的安全框架接受獨立審計,所有認證每年更新:
- SOC 2 Type 2 — 運營安全控制與流程
- SOC 3 — SOC 2 審計的公開摘要
- ISO 27001 — 資訊安全管理
- ISO 27017 — 雲端專屬安全控制
- ISO 27018 — 雲端中個人識別資訊的保護
- CSA STAR Level 1 — 雲端安全保證
這些審計由獨立第三方定期執行。
您可以啟用的功能
平台端負責基礎設施與交易。 它無法涵蓋的是您的帳戶存取——這取決於您的設定方式。 這些功能對每位使用者開放,只需幾分鐘即可完成設定。
雙因素驗證 (2FA)
2FA 在登入時增加第二道驗證步驟。 在 Nexo 上,同樣的驗證方式——簡訊、電子郵件或驗證器 App——在執行敏感操作時同樣需要:提領、編輯錢包地址簿,以及更改安全設定。 因此,即使有人取得您的密碼,若沒有第二個驗證因素,也無法轉移資金或變更您的設定。
驗證器 App(如 Google Authenticator 或 Authy)的安全性高於簡訊 2FA。 簡訊容易受到 SIM 卡換號攻擊,攻擊者會說服您的電信業者將您的號碼轉移到他們控制的 SIM 卡。 如果您正在使用簡訊 2FA,切換到驗證器 App 只需兩分鐘,非常值得。
啟用方式:前往安全設定,選擇您偏好的 2FA 方式。
重要提示:2FA 能大幅降低未授權存取的風險,但並非絕對保證。 請將您的恢復碼保存在安全的地方——若在沒有備份的情況下失去對 2FA 裝置的存取,可能導致您無法登入帳戶。
防釣魚代碼
釣魚攻擊——偽裝成 Nexo 寄出的假電子郵件——是加密貨幣領域最常見的攻擊手段之一。 防釣魚代碼是您自行設定的個人字串,會顯示在 Nexo 每封正規電子郵件的頁尾。 如果一封聲稱來自 Nexo 的電子郵件未包含您的代碼,那它就不是來自 Nexo。
設定方式:開啟 Nexo app → 輕觸個人資料 → Security & Settings → Anti-phishing code → 輸入您自選的代碼。
設定完成後,任何未包含您代碼的 Nexo 電子郵件都應視為可疑——無論看起來多麼真實。
地址白名單
加密貨幣中較為隱蔽的攻擊手段之一是地址替換——惡意程式會在無聲無息中將複製的提領地址替換為攻擊者控制的地址。 如果您在確認前沒有逐字核對完整地址,很可能不會察覺。
地址白名單功能將您的提領限制在錢包地址簿中儲存的地址(最多 500 個)。 您還可以為新增地址設定額外安全延遲——在新地址可用於提領前設定一個可配置的等待時間。 這關閉了攻擊視窗:即使攻擊者暫時取得您帳戶的存取權,也無法立即提領至新地址。
啟用方式:前往安全設定,開啟地址白名單功能。
管道驗證工具
在與任何聲稱屬於 Nexo 的電子郵件地址、社群媒體帳號或 URL 互動之前,您可以在 nexo.com/channel-validator 進行驗證。 若不在驗證工具中,就不是 Nexo 的官方管道。
這對社群媒體尤其有用——X、Telegram 和 Discord 上的假 Nexo 帳戶十分常見,它們通常冒充客服人員或進行假促銷活動。
Nexo 絕對不會做的事
以下幾點值得了解,因為掌握這些資訊能讓您更容易識破社交工程攻擊:
- Nexo 絕對不會要求您提供密碼或 2FA 代碼
- Nexo 絕對不會要求您透過聊天、電子郵件或簡訊授權交易
- Nexo 絕對不會透過簡訊傳送登入連結
如果任何聲稱來自 Nexo 的人做了上述任何事,那就不是 Nexo。 您可以向客戶服務團隊舉報可疑活動,請前往 support.nexo.com/contact。
您的帳戶安全真正從何而來
沒有任何平台能完全消除所有風險。 上述措施——無論是平台端的基礎設施還是使用者端的功能——都是為了縮小攻擊面,讓您的帳戶更難被攻破。
基礎設施負責處理使用者看不到或無法控制的部分。 使用者端的功能則負責處理平台無法涵蓋的部分——因為再多的後端安全措施,都無法阻止一個掌握您憑證的攻擊者,或一個點擊釣魚連結的使用者。
透過驗證器 App 設定 2FA、啟用防釣魚代碼,以及開啟地址白名單,整個過程不到十分鐘。 這是大多數使用者尚未採取的、回報率最高的安全行動。
如需了解常見威脅及防範方式的完整概覽,請參閱 常見安全威脅及應對方法。
常見問題
1. 反詐騙引擎是什麼,它如何運作?
這是一套自動化系統,在資金離開平台前即時分析每筆提領。 如果一筆交易看起來可疑——基於提領目的地地址、交易模式或其他信號——您將看到簡明易懂的說明。 在極少數高風險情況下,該交易可能會被短暫暫停。 它預設運行,無需任何設定。
2. 簡訊 2FA 與驗證器 App 有何不同?
兩者都在登入時增加第二道驗證步驟。 簡訊 2FA 容易受到 SIM 卡換號攻擊,攻擊者會說服您的電信業者將您的號碼重新分配到他們控制的 SIM 卡。 驗證器 App 在您的裝置上本地生成代碼,不與您的電話號碼綁定,因此對這類攻擊的抵抗力更強。
3. 如果我收到一封聲稱來自 Nexo 的可疑電子郵件,應該怎麼做?
檢查頁尾是否包含您的防釣魚代碼——如果沒有,就不是來自 Nexo。 您也可以在 nexo.com/channel-validator 驗證任何電子郵件地址、社群帳號或 URL。 請向 Nexo 的客戶服務團隊舉報可疑訊息,請前往 support.nexo.com/contact。
4. Nexo 員工能否在未經我許可的情況下存取我的帳戶?
Nexo 絕對不會要求您提供密碼或 2FA 代碼,也絕對不會要求您透過聊天、電子郵件或簡訊授權交易。 如果任何聲稱是 Nexo 客服的人做了上述任何事,那就不是 Nexo。
5. 地址白名單是什麼,我應該啟用它嗎?
地址白名單將提領限制在您已在錢包地址簿中預先核准的地址。 它還允許您設定延遲,讓新增地址在可使用前需等待一段時間。 這能防範地址替換惡意程式,並限制攻擊者在暫時取得帳戶存取權後所能執行的操作。 如果您有固定的提領目的地,建議啟用此功能。
這些資料可於全球取覽,但資訊的提供不代表可使用所述服務,相關服務可能在某些司法轄區無法使用。 這些材料僅供一般資訊用途,不構成財務、法務、稅務或投資建議、要約、招攬、推薦或背書,亦不代表使用任何 Nexo 服務的邀請,且並非個人化建議,亦未以任何方式針對特定投資目標、財務狀況或需求而量身訂製。 數位資產面臨高度風險,包括但不限於市場價格波動、法規變更及技術發展等。 數位資產的歷史表現並非未來結果的可靠指標。 數位資產並非貨幣或法定貨幣,不受政府或中央銀行支持,且大多數沒有任何基礎資產、收入來源或其他價值來源。 應根據個人情況運用獨立判斷,並建議在做出任何決定前諮詢合格專業人士。
本文章中描述的安全措施反映了 Nexo 在發布日期當時的基礎設施與功能。 安全是一個持續演進的領域,沒有任何系統能消除所有風險。 鼓勵使用者保持關注,並主動參與保護自己帳戶的工作。
