OneKey安全实验室发现支付宝碰一碰支付使用的NFC芯片存在安全漏洞，该芯片未开启OTP写入和加密功能，可能被恶意篡改。攻击者可替换芯片内容将支付导向钓鱼地址，导致用户资金损失。支付宝已在新设备中修复此漏洞，但老设备仍存在风险。尽管攻击需物理接触设备，且容易被发现，但用户仍需警惕。建议商家核实设备安全性，及时更换新设备。

关键要点

• ⚠️支付宝碰一碰支付的NFC芯片存在安全漏洞，未开启OTP写入和加密功能。

• 🔒攻击者可能通过替换芯片内容，将支付链接导向钓鱼网站，盗取用户资金。

• 📱支付宝已在2024年12月后出货的新设备中修复漏洞，但老设备因无法OTA更新仍存在风险。

• 🧐虽然攻击需要物理接触设备，且容易被发现，但用户仍需警惕安全风险。

• 💡建议使用碰一碰支付的商家，特别是使用老旧设备的商家，与支付宝官方核实安全性并及时更换新设备。