YettaS (@YettaSing) “昨天我的X账号被盗了，万幸在 1 小时内找回。我把完整经历写下来，给大家一个参考，尽” — TopicDigg

昨天我的X账号被盗了，万幸在 1 小时内找回。我把完整经历写下来，给大家一个参考，尽量避免踩同样的坑。 一开始我收到一封钓鱼邮件，说我的账号因为违规被调查，邮件里甚至附了证据。当时我第一反应是非常紧张，担心账号被封，于是直接点了链接去“申诉”。 这一步其实已经中招了。 我在页面里输入了密码和 2FA，结果几乎是同步，我收到邮件提示 2FA 被关闭，这时候才意识到账号已经被接管。等反应过来，密码也已经被改，所有设备全部被踢下线。 第一反应是走官方流程：通过邮箱提交“账号被 hack”的 ticket。但官方回复无法确认我是 owner，这其实也合理——如果密码和 2FA 都是“用户自己改的”，系统很难判断是不是黑客。 于是，我先让朋友帮忙举报账号被盗。 后来真正有用的方法，是在 Reddit 上看到的一个思路： 黑客可以改 2FA，但改不了邮箱。邮箱依然在我手里，所以我重新提了一个 ticket，核心诉求不是“账号被盗”，而是要求关闭 2FA，把控制权重新回到邮箱。 之后官方回了一封邮件，让我尝试登录并走重置流程。虽然我已经登不进去，但我还是把所有流程都走了一遍，并第一时间回复邮件。 大概半小时后，我收到确认：2FA 被关闭。 没有 2FA 之后，我立刻通过邮箱重置密码，成功拿回账号。 回头看，这个过程很可能是系统在做“行为验证”：邮箱在我手里 + 持续尝试登录 + 第一时间邮件响应 → 被判定为真实 owner，从而关闭了 2FA。 最后一个很多人忽略的点：2FA 是有 backup code 的。如果你提前保存了 backup code，在 2FA 被改的情况下，其实可以直接用 backup code 登录，不需要走这么一大圈。 上一次发生被盗已经是快十年前，在 Slack 里收到一个链接，说 myetherwallet 出问题。我点进去之后，里面的 ETH 全部被转走。 现在回头看，模式几乎一模一样：攻击永远发生在你最在意、最紧张的那一刻。一个坑踩两次也是被自己蠢哭了。 AI时代，务必更加注意安全。