Hongkongs nya cybersäkerhetskrav för kryptovalutahandelsplattformar
Hongkongs värdepappers- och terminskommission (SFC) har beordrat licensierade kryptovalutahandelsplattformar och online-mäklare att ersätta SMS-baserad autentisering med phishing-resistenta inloggningsmetoder inom de kommande 12 månaderna. Enligt SFC måste virtuella tillgångshandelsplattformar (VATPs) och online-mäklare sluta förlita sig på engångslösenord som levereras via SMS, e-post eller app-genererade koder och istället anta starkare autentiseringssystem som är svårare för angripare att kompromettera.
Uppdaterade standarder för skydd av kundkonton
Regulatorn tillkännagav de nya cybersäkerhetskraven som en del av uppdaterade standarder för skydd av kundkonton. Enligt det nya ramverket kommer företag att krävas att införa phishing-resistenta autentiseringsmetoder tillsammans med enhetsbindning. SFC identifierade passnycklar, registrerade enheter säkrade genom kryptografisk verifiering och hårdvarusäkerhetsnycklar som acceptabla alternativ. Alla licensierade plattformar måste slutföra övergången inom ett år.
Reglering av digitala tillgångar och certifieringsprogram
De senaste reglerna kommer när Hongkong fortsätter att expandera sin reglerade marknad för digitala tillgångar samtidigt som man höjer operativa standarder för licensierade företag. Tidigare denna vecka tillkännagav SFC också förändringar i programmet för certifierade virtuella tillgångsplattformspraktiker efter diskussioner med branschrepresentanter. Regulatorn har åtagit sig att separera certifieringsexamen från sin obligatoriska kurs, sänka bedömningsavgifter och förbättra studiematerial.
Cybersäkerhetsåtgärder och phishingrisker
SFC:s beslut följer en annan period av stora förluster kopplade till phishing- och social engineering-attacker inom kryptovalutaindustrin. Data som citerades av regulatorn visade att förfalskning och bedrägeri stod för 57 % av säkerhetsincidenterna som rapporterades till Hongkongs cybersäkerhetsolyckskoordinationscenter under 2025. Dr. Ye Zhiheng, verkställande direktör för Intermediaries Department vid Kinas värdepappersregleringskommission, sade att finansiella institutioner behöver samordnade förebyggande, upptäckts-, svar- och utbildningsåtgärder för att skydda kundkonton från allt mer sofistikerade bedrägeriangrepp.
Statistik över säkerhetsförluster och incidenter
Branschdata visade att phishing-attacker och social engineering-bedrägerier stod för 306 miljoner dollar av kryptosektorns totala säkerhetsförluster på 482 miljoner dollar under det första kvartalet 2026. Mer nyligen rapporterades en kryptoinvesterare ha förlorat nästan 1 miljon dollar efter att ha godkänt en skadlig phishing-token-transaktion på Ethereum, vilket bidrog till phishing-relaterade förluster som nådde 366 miljoner dollar under första halvan av 2026.
”Verifiera alltid kontrakt och återkalla oanvända token-godkännanden.”
Separata incidenter har fortsatt under året. Forskaren Ryan Coleman rapporterade att en plånbokshållare förlorade cirka 1,65 miljoner dollar efter att ha kopplat upp sig till en falsk kryptovalutabörs och skrivit under ett skadligt kontrakt som gav angriparna obegränsad tillgång till plånboken. Tidigare, den 25 maj, varnade on-chain-analytikern b-block att bedragare hade använt Google-annonser för att utge sig för att vara den decentraliserade börsen Uniswap, med kampanjen som rapporterades ha stulit mer än 400 000 dollar från offer.
Branschens krav på starkare säkerhet
Krav på starkare plånboksäkerhet har också kommit från branschen. Binance medgrundare Changpeng Zhao uppmanade tidigare användare att anta bättre säkerhetspraxis efter att en investerare förlorat 50 miljoner dollar i en adressförgiftning-bedrägeri i december 2025.