白名单

在加密货币领域，白名单有三种常见且截然不同的含义。三者的核心都是“具有特权访问权限的地址列表”，但上下文和风险特征各不相同。

1. 交易所提现地址白名单

这是中心化交易所的一项安全功能。您需要预先注册允许从您的账户提取资金的地址。转账到任何其他地址都会被阻止。

典型特征：

• 添加新地址后的时间锁定：24-72小时后地址才能接收资金（Binance、Kraken、Coinbase、OKX、Bybit都实施了不同的变体）
• 添加或删除地址时需要双重认证/电子邮件/设备确认
• 每个链、每个资产的列表——有时需要强制执行备忘录/标签（XRP、XLM、TON、Kaspa）
• 一些交易所允许您切换到“仅白名单”模式，拒绝向任何未列出的地址提现

这是防止账户被盗用的强有力防御措施。即使攻击者窃取了您的密码和双重认证，他们也无法在时间锁定窗口内添加新地址并提现——这给了您时间注意到并锁定账户。

如果您是通过交易所路由矿池支付的矿工，启用提现白名单是最高价值的安全习惯之一。

2. NFT/代币销售白名单（“允许列表”，“WL位置”）

预先批准的钱包地址可以获得保证的、提前的或折扣的铸造或代币销售访问权限。项目通过Discord角色、Galxe/Guild.xyz活动、链上操作或推荐任务收集地址。

机制：

• 列表在链下编译
• 所有白名单地址的Merkle根存储在销售合约中
• 在铸造时，每个用户提交一个Merkle证明，证明他们的地址在列表中——即使对于成千上万个地址也很节省燃气

术语**“允许列表”**越来越被偏好使用而不是“白名单”——许多项目和OpenSea的合约工具都使用它——但机制是相同的。

注意：Merkle机制本身是安全的，但围绕白名单营销的社交层是主要的网络钓鱼向量。假冒的WL私信和被攻陷的Discord管理员账户发布假铸造链接是NFT社区中最常见的骗局模式之一。

3. 智能合约允许列表

合约将某个功能限制为一组存储的地址。典型实现：

• mapping(address => bool) — 简单的链上列表
• OpenZeppelin的AccessControl — 基于角色的访问（例如，MINTER_ROLE）
• 链上Merkle根 + 证明验证 — 对于大型集合来说节省燃气

常见用途：

• 仅限管理员的功能（暂停、升级、提取费用）
• 特权桥接或预言机调用者
• 需要KYC的现实资产转移；机构DeFi（Aave Arc / Horizon, Maple Finance）
• 预售上限和早期投资者窗口

相反的是黑名单/拒绝列表——大多数代币没有，但像USDT和USDC这样的稳定币维护发行者控制的阻止列表，并可以根据制裁、法院命令或盗窃冻结地址。

合约允许列表的安全性取决于控制列表的管理员密钥。多签或时间锁定的治理合约比单一EOA持有的管理员角色要安全得多。

另见

• 验证码
• 网络钓鱼
• 智能合约
• 地址