# 马来西亚网络部门联手MX Global：加密交易所安全新规或将出台？

By [okx pi](https://paragraph.com/@okx-pi) · 2025-09-04

---

事件回顾：两年谅解备忘录签署了什么？
------------------

马来西亚网络安全部（NCSC）在本周宣布，已与本土金融科技公司 MX Global 正式签署**两年期谅解备忘录**，共同探索加密货币与数字资产交易所（DAX）必须满足的安全措施。网络安全部总执行长拿督 Datuk Amirudin Abdul Wahab 表示，这份文件的最大价值不是“合作”二字，而是为接下来的立法、技术与行业规范搭建“总框架”。

换句话说，这不是简单的技术交流，而是一次带有**政策试验意味**的深度合作：

*   **监管层直接下场**——网络安全部将在 DAX 系统渗透测试、冷钱包托管、用户身份验证（KYC/AML）等关键环节提出**强制性标准草案**。
    
*   **企业方深度配合**——MX Global 将作为首家“沙盒”平台，把实际数据与攻防结果同步给政府，未来标准落地后，所有交易所必须在 12 个月内达标。
    
*   **落脚点在区块链底层技术安全**——不仅盯住“币价涨跌”，更关注**智能合约审计、共识节点防护、私钥管理**等深层隐患。
    

为何锁定交易所？三大安全隐患浮出水面
------------------

### 1\. 平台资产集中托管风险

黑客最爱“一锅端”。当所有用户资金稳居单一热钱包时，只要攻破 API 权限，便可瞬间转移上亿资产。👉 [点击了解：交易所如何用冷热分离+多重签名堵住“维基解密级”攻击](https://okxdog.com/)

### 2\. 身份信息泄露

2024 年，马来西亚已有两家本土平台泄露超 50 万条 KYC 影像，黑市打包售价不足 0.5 BNB。攻击者利用照片绕过人脸识别，进行二次借贷、盗刷银行卡，形成**链上链下双重洗钱**通道。

### 3\. 合规词汇：Travel Rule

金融行动特别工作组（FATF）要求的“旅行规则”在东南亚落地缓慢：交易所互传客户资料时必须加密且可追溯，否则被认定为“高风险机构”。本次谅解备忘录拟将 Travel Rule 接入 NCSC 数据沙盒，打造\*\*“零知识共享”试点\*\*，既满足监管，又让用户数据不裸奔。

“区块链安全”真的只靠代码吗？看真实攻防案例
----------------------

### 案例 A：节点 DDoS 不到 30 分钟，全网停摆

2024 年 12 月，某东南亚 DeFi 交易所的验证节点遭遇 400 Gbps 突发流量，直接导致链上出块停滞 28 分钟，用户恐慌提币，币价在 1 小时内暴跌 17%。攻击者未窃取任何资产，却通过“**流动性心理战**”牟利。

**改进方案**：MX Global 正在接入 NCSC 云清洗中心，利用马来西亚国家骨干网 BGP 流量牵引，将攻击流量分流至蜜罐，经典套路仅需 3 秒完成切换。

### 案例 B：热钱包私钥泄露，百万美金蒸发

单月泄漏 3 次，都是因为员工把私钥片段备份在 Notion 公开页面。新标准要求所有私钥片段分三地、三介质储存，**须通过 MPC（多方安全计算）才能拼合**，等于给每个后台开发加上“指纹锁+门禁”。

FAQ：马来西亚投资者最关心的 5 个问题
---------------------

\*\*Q1：MX Global 会不会独享“绿通”特权？\*\*A：不会。NCSC 表态将以公开听证方式收集所有持牌交易所意见，首份标准草案有望在 2025 年 Q3 公布，留给行业 90 天反馈时间。

**Q2：普通散户需要做什么配合 KYC 升级？A：仅需重新做一次活体人脸核验**，旧数据可直接复用，不会影响既有资产。

\*\*Q3：如果交易所迟迟不达标，会吊销牌照吗？\*\*A：先黄牌警告、再限期整改、最终才可能撤牌，整个过程预计历时 6–12 个月。

\*\*Q4：未来还会要求交易数据本地化吗？\*\*A：官方倾向\*\*“分区加密存储”\*\*，核心数据在马来西亚境内，但经加密后的灾备节点可放在中立地（新加坡、首尔），既合规又抗灾。

\*\*Q5：散户最该关注的风险信号？\*\*A：

1.  官网连续 24 小时未公布安全审计报告；
    
2.  提币审核从“即时”变“次日”；
    
3.  社群管理员频繁更换身份。出现任一信号，建议分批提币到**个人冷钱包**。
    

监管之外：企业自救的三条硬核路线
----------------

*   **硬件加密模块（HSM）**：私钥永不出芯片，成本虽高，但能挡住 98% 的远程攻击。
    
*   **零信任网络访问**：员工在家登录后台时，不再依赖传统 VPN，而是通过动态口令 + 设备指纹双重验证。
    
*   **保险兜底**：头部平台已把用户资产以 1:1 抵押率购买犯罪保险，赔付优先级高于公司清算债务。
    

👉 [查看实战：如何 10 分钟自查平台是否购买足量保险](https://okxdog.com/)

尾声：政策窗口期＝行业洗牌期
--------------

两年说长也短。一旦新标准定稿，马来西亚现存 30 余家小型交易所可能因合规成本被并购或自然退出。对于持币者，这并非坏消息——高标准让\*\*“行业幸存者”**更具公信力，也让加密资产从“灰色”迈向“白名单”。真正的考验在于，政策能否在打击黑客与鼓励创新之间找到“最稳曲线”。不如把这次谅解备忘录视为一场**绩效公开测验\*\*：技术、团队、资本、运营，每一家平台都得在镁光灯下交卷。

---

*Originally published on [okx pi](https://paragraph.com/@okx-pi/mx-global)*