在以快速聊天和协调拉盘为基础的 meme 币世界里，隐私刚刚被狠狠敲了一下现实的提醒。网络安全公司 Malwarebytes 最近的一条推文指出，WhatsApp 的一个 API 漏洞允许研究人员抓取多达 35 亿注册账户的数据。如果你深入参与像 Dogecoin 或基于 Solana 的新币种，这件事就离你很近——尤其是许多加密群组依赖 WhatsApp 做实时讨论。

简单拆解一下。WhatsApp（由 Meta 拥有）有一个用于联系人发现的 API 功能。它能让应用检查某个电话号码是否关联着注册账户，并提取一些基本的公开信息。问题在于：对查询次数没有足够严格的限制。维也纳大学（University of Vienna）和 SBA Research 的研究人员发现了这一点并进行了大规模测试——他们从 245 个国家生成了数十亿个可能的电话号码，以每小时超过 1 亿次的速度轰炸 WhatsApp 的服务器。那相当于单个 IP 每秒 7000 多次查询，而且没有被封锁。

他们获取了什么？对于确认存在的账户，他们抓取了头像（在样本中约三分之二用户的头像是可见的）和“about”文本栏。你知道的，就是那些简短的个人简介，有人会在上面透露政治倾向、性取向、宗教信仰，甚至写上 OnlyFans 链接或工作邮箱。他们还收集了元数据，并发现了大量出现在 WhatsApp 明显被禁用的国家的账户，比如伊朗、中国和缅甸的数百万账户。惊人吧？甚至还有少数出现在朝鲜的账户。

这些研究人员并非怀有恶意的黑客——他们以道德方式进行研究，并在四月通过赏金漏洞计划向 Meta 报告了此事。Meta 上个月实施了更严格的速率限制来堵住该漏洞。WhatsApp 工程副总裁 Nitin Gupta 强调，被抓取的数据主要是其他地方也能看到的公开信息，而核心消息因为端到端加密仍然是安全的。目前没有迹象显示有恶意行为者利用该漏洞，但潜在风险依然存在。

那么为什么 meme 币交易者应该在意？meme 代币生态高度依赖社区。从 Telegram 到 Discord，当然还有 WhatsApp 群，大家分享信息、为代币造势，有时甚至为了场外交易（OTC）交换钱包地址或电话号码。这个漏洞展示出不道德的人如何轻易建立一个巨大的“反向电话簿”——将电话号码与个人资料、头像和私人信息关联起来。试想骗子用这些信息进行定向钓鱼，例如伪装空投邀请或针对你兴趣定制的拉盘逃顶骗局。更糟的是，在监管严格的地区，这可能导致对加密活动的监视。

在区块链领域，匿名性很重要（想想那些假名钱包），把你的电话号与敏感信息挂钩绝对不可取。meme 币常吸引新手，他们可能没把“about”一栏会暴露多少当回事。再者电话号码会长期存在——研究人员指出，多年前泄露的 Facebook 号码中仍有 58% 在 WhatsApp 上处于激活状态——这些数据并不会随时间自动消失。

为了保持安全，这里有些直白的建议：把头像和“about”信息设置为仅联系人可见，而不是公开。避免在这些地方放入任何敏感信息。对于 meme 币聊天，考虑使用加密性更强的替代工具，或者改用像 Signal 这样的平台以增强隐私。并且在点击链接或分享信息前一定要核实来源——加密领域诈骗猖獗，这类大规模数据抓取可能会让诈骗更有威力。

此事件强调了技术与加密领域的一个更广泛问题：API 功能很强大，但若没有适当防护，就会变成隐患。随着 meme 代币项目配套更多社区工具，把隐私放在优先位置不仅是明智之举——而是必须。关注像 Malwarebytes 这样的公司发布的更新，保持对这些威胁的警惕。

想看完整报道，请查看 Malwarebytes 的原文博客 here。如果你正在构建你的 meme 币知识库，继续关注我们 Meme Insider（meme-insider.com），获取更多关于在区块链世界中保持安全的见解。