Chciałbym podzielić się kilkoma powszechnymi scenariuszami związanymi z kompromitacją portfeli, mając nadzieję, że pomoże to użytkownikom lepiej zrozumieć, skąd faktycznie pochodzą ryzyka: 1️⃣ Ryzyko centralizacji kluczy prywatnych w produktach DEX Bot Wiele produktów DEX Bot wymaga od użytkowników przesyłania swoich kluczy prywatnych na serwery, gdzie są one przechowywane w postaci niezaszyfrowanej lub w formie możliwej do odszyfrowania. 👉 Oznacza to, że wewnętrzny personel techniczny może mieć dostęp do kluczy prywatnych użytkowników, a gdy system zostanie skompromitowany, profil ryzyka staje się porównywalny z tym w przypadku scentralizowanej giełdy. W związku z tym takie produkty muszą spełniać standardy bezpieczeństwa na poziomie giełdy, aby mogły być uznane za bezpieczne. Co ważne, produkty te nie są z natury prawdziwie samodzielnie zarządzane. W wielu jurysdykcjach dostawcy usług mogą być uznawani za podlegających KYC, AML i innym obowiązkom zgodności. Niedopełnienie takich obowiązków może narażać operatorów na ryzyko regulacyjne, a nawet karne. 2️⃣ Wrażliwości lub złośliwe zachowanie w kodzie portfela samodzielnego Obejmuje to błędy oprogramowania, ataki na łańcuch dostaw lub skompromitowane repozytoria kodu, które mogą prowadzić do wycieku kluczy prywatnych. 👉 Niedawny głośny incydent z portfelem mieści się w tej kategorii. 3️⃣ Kompromitacja urządzeń użytkowników lub niezamierzone ujawnienie danych Urządzenia użytkowników mogą być zainfekowane złośliwym oprogramowaniem zdolnym do monitorowania naciśnięć klawiszy lub aktywności schowka. W innych przypadkach użytkownicy przechowują frazy odzyskiwania jako zrzuty ekranu, które następnie są automatycznie kopiowane do usług chmurowych do przechowywania zdjęć. 👉 Zajmowaliśmy się rzeczywistymi sprawami prawnymi, w których pracownicy dużych dostawców przechowywania zdjęć pisali skrypty po stronie serwera, aby skanować kopie zapasowe użytkowników i identyfikować obrazy zawierające frazy odzyskiwania. 4️⃣ Strukturalne poleganie na przechowywaniu kluczy prywatnych w strategiach automatycznych Wielu użytkowników polega na automatycznych strategiach handlowych lub wykonawczych, które często wymagają powierzenia kluczy prywatnych dostawcom usług botów. OKX Wallet przygotowuje się do wprowadzenia Smart Accounts, wykorzystując technologię Trusted Execution Environment (TEE), aby umożliwić wykonywanie strategii automatycznych bez kontrolowania kluczy prywatnych, rozwiązując ten długotrwały kompromis w zakresie bezpieczeństwa. 5️⃣ Właściwy kierunek ewolucji bezpieczeństwa portfeli Bezpieczeństwo i użyteczność nie są ze sobą sprzeczne. Filozofia projektowania portfela OKX Pay polega na połączeniu: •Bezpieczeństwa i kontroli ryzyka na poziomie instytucjonalnym •Lokalnej autoryzacji kontrolowanej przez użytkownika, takiej jak klucze dostępu OKX Pay jest obecnie produktem na etapie koncepcji, a w ciągu najbliższego roku planujemy wprowadzić szereg potężnych funkcji, aby lepiej chronić aktywa dla użytkowników mainstreamowych.