Elon Musk 的 X 正在推出一項安全功能：任何首次提及加密貨幣的帳戶，都將自動鎖定——在恢復發文前，需先完成額外驗證——這是對一波利用社群信任來推廣詐騙代幣的帳戶劫持攻擊浪潮的直接回應。

摘要

• X 產品負責人 Nikita Bier 已確認此自動鎖定功能，表示它鎖定的是針對該平台上加密釣魚攻擊背後的財務誘因
• 此舉是在帳戶劫持事件激增之後推出，包括 4 月 1 日 Predictfully 創辦人 Benjamin White 的帳戶遭入侵；該帳戶被用來推送詐騙內容，並向真正的所有者勒索 $4,000
• Bier 估計，此功能應能消除 99% 與目前釣魚作業相關的誘因，並點名批評 Google 未能在 Gmail 層級阻擋釣魚電子郵件

自動鎖定會在帳戶首次出現任何與加密貨幣相關的貼文時觸發。觸發後，該帳戶會被鎖定，使用者必須完成驗證，才能重新取得存取權。Bier 將其描述為鎖定核心攻擊途徑：駭客透過釣魚電子郵件取得帳戶存取權，將原帳戶所有者鎖在外面，並利用帳戶既有的追蹤者信任來宣傳詐欺代幣、假贈品與迷因幣。

功能說明

「這應該能消滅 99% 的誘因」，Bier 在回覆一位使用者時寫道；該使用者描述自己如何因一次偽裝成版權違規通知的釣魚攻擊而失去對個人檔案的控制。攻擊者使用了像素級完美的假登入頁面，在將受害者鎖出並開始詐騙宣傳之前，先蒐集該使用者的憑證與雙重驗證碼。

針對目標

在 X 上，與加密貨幣相關的帳戶劫持一直是被記錄且持續存在的問題，從該平台還叫 Twitter 的時代就已如此。自動鎖定建立在過去平台為消除「提及式垃圾訊息」宣傳活動，以及用於加密促銷的協同行為所採取的努力之上。長期以來從未發布過加密貨幣內容的使用者，在其首次發布此類貼文時將需要接受驗證；而 Bier 表示，合法帳戶則可以透過此流程快速重新取得存取權。

Bier 也公開批評 Google 允許釣魚電子郵件透過 Gmail 送達使用者。「Google 沒在做任何事來阻止釣魚」，他寫道——並將自動鎖定定位為針對上游漏洞的「平台層級」替代方案，因為 X 無法直接控制該漏洞。

美國聯邦貿易委員會已記錄社群媒體上的加密貨幣詐騙如何激增，已成為一個數十億美元的問題，且受害者常常無法找回資金，因為鏈上轉帳不可逆。這種結構性現實使得「被劫持且擁有既有追蹤者信任」的帳戶對攻擊者特別有價值——而自動鎖定正是直接透過斷開「帳戶存取權」與「透過加密促銷立即變現」之間的連結來針對這一點。

限制

批評者指出，這項措施只會在帳戶已透過釣魚遭到入侵之後才介入。如果電子郵件服務商無法在上游更好地過濾釣魚電子郵件，攻擊鏈就仍會維持完整。該功能也可能對來自既有帳戶的合法首次加密貼文造成摩擦；不過 Bier 表示，對真正的使用者而言，驗證流程將會很短。

正如近幾個月較大範圍的加密駭客攻擊與釣魚損失顯示出的改善——例如 2026 年 2 月創下自 2025 年 3 月以來最低的每月總計——本週的 $285 million Drift Protocol 漏洞仍是對「頭條風險仍然偏高」的強烈提醒。X 的新功能，針對的是在更龐大、且涵蓋各式與加密連結的詐欺生態系之中，某一個特定且高頻的攻擊路徑。