Я хотел бы поделиться некоторыми распространенными сценариями, связанными с компрометацией кошельков, в надежде, что это поможет пользователям лучше понять, откуда на самом деле возникают риски: 1️⃣ Риск централизованного хранения приватных ключей в продуктах DEX Bot Многие продукты DEX Bot требуют от пользователей загрузки своих приватных ключей на серверы, где они хранятся в открытом виде или в расшифровываемой форме. 👉 Это означает, что внутренний технический персонал может получить доступ к приватным ключам пользователей, и как только система будет скомпрометирована, профиль риска фактически становится сопоставимым с профилем централизованной биржи. В результате такие продукты должны соответствовать стандартам безопасности уровня биржи, чтобы считаться безопасными. Важно отметить, что эти продукты по своей сути не являются действительно самоуправляемыми. Во многих юрисдикциях поставщики услуг могут считаться подлежащими KYC, AML и другим обязательствам по соблюдению норм. Невыполнение таких обязательств может подвергнуть операторов регуляторным или даже уголовным рискам. 2️⃣ Уязвимости или злонамеренное поведение в коде самоуправляемого кошелька Это включает в себя программные ошибки, атаки на цепочку поставок или скомпрометированные репозитории кода, что может привести к утечке приватных ключей. 👉 Недавний инцидент с кошельком высокого профиля попадает в эту категорию. 3️⃣ Компрометация пользовательских устройств или непреднамеренное раскрытие данных Пользовательские устройства могут быть заражены вредоносным ПО, способным отслеживать нажатия клавиш или активность буфера обмена. В других случаях пользователи хранят фразы восстановления в виде скриншотов, которые затем автоматически сохраняются в облачные фотосервисы. 👉 Мы имели дело с реальными юридическими случаями, когда сотрудники крупных провайдеров хранения фотографий писали серверные скрипты для сканирования резервных копий пользователей и идентификации изображений, содержащих фразы восстановления. 4️⃣ Структурная зависимость от хранения приватных ключей для автоматизированных стратегий Многие пользователи полагаются на автоматизированные торговые или исполнительные стратегии, которые часто требуют доверия к провайдерам услуг ботов с приватными ключами. OKX Wallet готовится представить Умные Учетные Записи, используя технологию Защищенной Исполнительной Среды (TEE), чтобы обеспечить выполнение автоматизированных стратегий без контроля над приватными ключами, решая эту давнюю проблему безопасности. 5️⃣ Правильное направление эволюции безопасности кошельков Безопасность и удобство использования не являются взаимоисключающими. Дизайнерская философия OKX Pay Wallet заключается в том, чтобы объединить: • Безопасность и контроль рисков уровня институциональных инвесторов • Локальную аутентификацию, контролируемую пользователем, такую как ключи доступа OKX Pay в настоящее время является продуктом на стадии концепции, и в течение следующего года мы планируем внедрить ряд мощных функций для лучшей защиты активов для массовых пользователей.