Rád bych se podělil o některé běžné scénáře kompromitací peněženek v naději, že to uživatelům pomůže lépe pochopit, odkud rizika skutečně pocházejí: 1️⃣ Centralizované riziko soukromých klíčů v produktech DEX Bot Mnoho produktů DEX Botů vyžaduje, aby uživatelé nahrávali své soukromé klíče na servery, kde jsou uloženy v čistém textu nebo v dešifrovatelné podobě. 👉 To znamená, že interní technický personál může mít přístup k uživatelským soukromým klíčům a jakmile je systém kompromitován, rizikový profil se efektivně stává srovnatelným s centralizovanou burzou. Výsledkem je, že takové produkty musí splňovat bezpečnostní standardy na burzové úrovni, aby byly považovány za bezpečné. Důležité je, že tyto produkty nejsou ze své podstaty skutečně samopečovatelné. V mnoha jurisdikcích mohou být poskytovatelé služeb považováni za povinné dodržovat KYC, AML a další povinnosti v oblasti dodržování předpisů. Nesplnění těchto povinností by mohlo vystavit provozovatele regulačním nebo dokonce trestním rizikům. 2️⃣ Zranitelnosti nebo škodlivé chování v kódu peněženky s vlastním správcem To zahrnuje softwarové chyby, útoky na dodavatelský řetězec nebo kompromitované kódové úložiště, které mohou vést k exfiltraci soukromých klíčů. 👉 Nedávný vysoce medializovaný incident s peněženkou spadá do této kategorie. 3️⃣ Kompromitace uživatelských zařízení nebo nechtěné vystavení dat Uživatelská zařízení mohou být infikována malwarem schopným monitorovat stisky kláves nebo aktivitu na schránkovém serveru. V jiných případech uživatelé ukládají obnovovací fráze jako snímky obrazovky, které jsou pak automaticky zálohovány do cloudových fotoservisů. 👉 Řešili jsme skutečné právní případy, kdy zaměstnanci velkých poskytovatelů fotoúložišť psali serverové skripty ke skenování záložek uživatelů a identifikaci obrázků obsahujících obnovovací fráze. 4️⃣ Strukturální závislost na úschově soukromých klíčů pro automatizované strategie Mnoho uživatelů spoléhá na automatizované obchodní nebo exekuční strategie, které často vyžadují, aby byly soukromé klíče svěřeny poskytovatelům bot služeb. OKX Wallet se připravuje na zavedení chytrých účtů, využívajících technologii Trusted Execution Environment (TEE) k automatizovanému provádění strategií bez nutnosti kontroly soukromých klíčů, čímž řeší tento dlouhodobý bezpečnostní kompromis. 5️⃣ Správný směr vývoje bezpečnosti peněženek Bezpečnost a použitelnost se nevylučují. Designová filozofie OKX Pay Wallet spočívá v kombinaci: • Institucionální bezpečnostní a rizikové kontroly •Uživatelem řízené lokální ověřování, například přístupové klíče OKX Pay je v současnosti produktem ve fázi konceptu a v příštím roce plánujeme zavést řadu výkonných funkcí, které lépe ochrání aktiva pro běžné uživatele.

Dovolte mi mluvit o některých běžných situacích, kdy jsou peněženky ukradeny, doufám, že vám to pomůže: 1️⃣ Riziko centralizace soukromých klíčů produktů DEX Bot Mnoho produktů DEX botů nahrává uživatelův soukromý klíč na server a ukládá jej v čistém textu nebo dešifrovatelné podobě. 👉 To znamená, že interní technici mají přístup k soukromým klíčům a v případě hacknutí je jejich úroveň rizika prakticky ekvivalentní úrovni burzy. Proto musí být bezpečnostní standardy těchto produktů na burzové úrovni, jinak je riziko extrémně vysoké. Zároveň však takové produkty nejsou automaticky peněženkami, které by si sami spravovali. Ve většině jurisdikcí mohou být poskytovatelé služeb povinni dodržovat KYC, AML a další povinnosti v oblasti souladu. Pokud nesplňuje očekávání, může v budoucnu čelit riziku dodržování předpisů a dokonce trestní činnosti. 2️⃣ Zranitelnosti v kódu nebo subjektivní škodlivá rizika peněženek se samosprávou Patří sem chyby v kódu, útoky v dodavatelském řetězci a kompromitace kódových skladů, které vedou k krádeži a šíření soukromých klíčů. 👉 Před pár dny byla ukradena známá peněženka, která patří tomuto typu. 3️⃣ Uživatelovo terminálové zařízení je kompromitováno nebo dochází k úniku dat Mobilní telefony nebo počítače jsou implantovány trojskými koňmi pro sledování vstupu z klávesnice a klipbordů; Nebo si uložte screenshot mnemotechnické fráze a automaticky ji zálohuje software fotoalba. 👉 Pracovali jsme na skutečných soudních případech: zaměstnanci velké firmy vyrábějící fotoalba napsali server, který procházel záložní fotografie uživatelů a filtroval obrázky obsahující počáteční fráze. 4️⃣ Strukturální závislost automatizačních politik na úschově soukromých klíčů Mnoho uživatelů spoléhá na automatizované možnosti politik bota a musí hostovat své soukromé klíče poskytovateli služeb bota. Připravovaný Smart Account od OKX Wallet využije technologii TEE k automatizaci vymáhání politik bez nutnosti hostování soukromých klíčů, čímž se tento dlouhodobý bezpečnostní rozpor řeší. 5️⃣ Správný směr pro vývoj zabezpečení peněženek Soukromé klíče, bezpečnost a snadnost používání nejsou antagonistické. Designový koncept OKX Pay Wallet je přesně stejný jako kombinace: • Institucionální bezpečnostní a systém řízení rizik • Uživatelský lokální přístupový klíč / samokontrola OKX Pay je stále konceptuální produkt, ale v příštím roce budeme pokračovat v zavádění výkonnějších funkcí pro lepší ochranu bezpečnosti aktiv běžných uživatelů.

Je to neuvěřitelné — a připomíná to celému odvětví, že bezpečnost nikdy není "hotová". Pro uživatele: prosím, dodržujte oficiální bezpečnostní pokyny a co nejdříve podnikněte kroky k ochraně svých aktiv.