Tôi muốn chia sẻ một số kịch bản phổ biến liên quan đến việc bị xâm phạm ví, với hy vọng rằng điều này sẽ giúp người dùng hiểu rõ hơn về nguồn gốc của các rủi ro: 1️⃣ Rủi ro khóa riêng tập trung trong các sản phẩm Bot DEX Nhiều sản phẩm Bot DEX yêu cầu người dùng tải lên khóa riêng của họ lên máy chủ, nơi chúng được lưu trữ dưới dạng văn bản thuần túy hoặc ở dạng có thể giải mã. 👉 Điều này có nghĩa là nhân viên kỹ thuật nội bộ có thể truy cập vào khóa riêng của người dùng, và một khi hệ thống bị xâm phạm, hồ sơ rủi ro thực sự trở nên tương đương với một sàn giao dịch tập trung. Do đó, các sản phẩm như vậy phải đáp ứng các tiêu chuẩn an ninh cấp sàn giao dịch để được coi là an toàn. Quan trọng là, những sản phẩm này không thực sự tự quản lý theo bản chất. Ở nhiều khu vực pháp lý, các nhà cung cấp dịch vụ có thể bị coi là phải tuân thủ KYC, AML và các nghĩa vụ tuân thủ khác. Việc không đáp ứng các nghĩa vụ như vậy có thể khiến các nhà điều hành phải đối mặt với rủi ro pháp lý hoặc thậm chí hình sự. 2️⃣ Lỗ hổng hoặc hành vi độc hại trong mã ví tự quản Điều này bao gồm các lỗi phần mềm, các cuộc tấn công chuỗi cung ứng, hoặc các kho mã bị xâm phạm, có thể dẫn đến việc khóa riêng bị rò rỉ. 👉 Một sự cố ví nổi bật gần đây thuộc về danh mục này. 3️⃣ Xâm phạm thiết bị người dùng hoặc lộ dữ liệu không mong muốn Thiết bị của người dùng có thể bị nhiễm phần mềm độc hại có khả năng theo dõi các thao tác gõ phím hoặc hoạt động của clipboard. Trong các trường hợp khác, người dùng lưu trữ cụm từ khôi phục dưới dạng ảnh chụp màn hình, sau đó tự động được sao lưu lên các dịch vụ lưu trữ ảnh đám mây. 👉 Chúng tôi đã xử lý các vụ án pháp lý thực tế nơi nhân viên của các nhà cung cấp lưu trữ ảnh lớn đã viết các kịch bản phía máy chủ để quét các bản sao lưu của người dùng và xác định các hình ảnh chứa cụm từ khôi phục. 4️⃣ Sự phụ thuộc cấu trúc vào việc giữ khóa riêng cho các chiến lược tự động Nhiều người dùng phụ thuộc vào các chiến lược giao dịch hoặc thực hiện tự động, thường yêu cầu khóa riêng được giao phó cho các nhà cung cấp dịch vụ bot. Ví OKX đang chuẩn bị giới thiệu Tài khoản Thông minh, tận dụng công nghệ Môi trường Thực thi Đáng tin cậy (TEE) để cho phép thực hiện chiến lược tự động mà không cần kiểm soát lưu giữ khóa riêng, giải quyết sự đánh đổi an ninh lâu dài này. 5️⃣ Hướng đi đúng cho sự tiến hóa của an ninh ví An ninh và khả năng sử dụng không phải là hai khái niệm loại trừ lẫn nhau. Triết lý thiết kế đằng sau Ví OKX Pay là kết hợp: •An ninh và kiểm soát rủi ro cấp tổ chức •Xác thực cục bộ do người dùng kiểm soát, chẳng hạn như khóa bảo mật OKX Pay hiện đang ở giai đoạn ý tưởng, và trong năm tới, chúng tôi dự định triển khai một loạt các tính năng mạnh mẽ hơn để bảo vệ tài sản cho người dùng chính thống.

Tôi muốn nói về một số tình huống phổ biến khi ví bị đánh cắp, hy vọng sẽ giúp ích cho mọi người: 1️⃣ Rủi ro tập trung khóa riêng của các sản phẩm DEX Bot Nhiều sản phẩm DEX Bot sẽ tải khóa riêng của người dùng lên máy chủ, lưu trữ dưới dạng văn bản rõ hoặc có thể giải mã. 👉 Điều này có nghĩa là nhân viên kỹ thuật nội bộ có thể tiếp cận khóa riêng, một khi bị xâm nhập bởi hacker, mức độ rủi ro thực tế đã tương đương với sàn giao dịch. Do đó, tiêu chuẩn an ninh của các sản phẩm này phải đạt cấp độ sàn giao dịch, nếu không sẽ có rủi ro rất cao. Đồng thời, các sản phẩm này về bản chất không thuộc về ví tự quản lý. Ở hầu hết các khu vực pháp lý, các nhà cung cấp dịch vụ liên quan có thể bị xác định là cần thực hiện các nghĩa vụ tuân thủ KYC, AML; nếu không thực hiện, trong tương lai có thể phải đối mặt với rủi ro tuân thủ thậm chí là hình sự. 2️⃣ Rủi ro lỗ hổng mã hoặc hành vi xấu của ví tự quản lý Bao gồm các lỗi mã, tấn công chuỗi cung ứng, kho mã bị xâm nhập, dẫn đến khóa riêng bị đánh cắp và phát tán. 👉 Vài ngày trước, một ví nổi tiếng đã bị đánh cắp, thuộc loại này. 3️⃣ Thiết bị đầu cuối của người dùng bị tấn công hoặc dữ liệu bị rò rỉ Điện thoại hoặc máy tính bị cài đặt mã độc, theo dõi nhập liệu bàn phím, clipboard; hoặc chụp màn hình cụm từ khôi phục và lưu lại, được phần mềm album tự động sao lưu lên đám mây. 👉 Chúng tôi đã xử lý một vụ án thực tế: Nhân viên của một nhà sản xuất album lớn đã viết chương trình trên máy chủ, duyệt qua ảnh sao lưu của người dùng, chuyên lọc ra những bức ảnh chứa cụm từ khôi phục. 4️⃣ Sự phụ thuộc cấu trúc vào việc ủy thác khóa riêng của các chiến lược tự động hóa Nhiều người dùng phụ thuộc vào chức năng chiến lược tự động hóa của Bot, buộc phải ủy thác khóa riêng cho nhà cung cấp dịch vụ Bot. Tài khoản thông minh sắp ra mắt của OKX Wallet sẽ sử dụng công nghệ TEE, thực hiện chiến lược tự động hóa mà không cần ủy thác khóa riêng, giải quyết mâu thuẫn an ninh tồn tại lâu dài này. 5️⃣ Hướng tiến hóa đúng đắn cho an ninh ví An ninh khóa riêng và tính dễ sử dụng không phải là mối quan hệ đối kháng. Triết lý thiết kế của OKX Pay Wallet chính là kết hợp: • An ninh và hệ thống kiểm soát rủi ro cấp tổ chức • Passkey địa phương của người dùng / kiểm soát bản thân OKX Pay hiện vẫn là một sản phẩm mang tính khái niệm, nhưng trong năm tới, chúng tôi sẽ tiếp tục đưa ra những khả năng mạnh mẽ hơn, để bảo vệ an toàn tài sản cho người dùng bình thường.

Thật không thể tin được — và là một lời nhắc nhở cho toàn bộ ngành rằng an ninh không bao giờ "hoàn tất." Đối với người dùng: xin hãy tuân theo các hướng dẫn bảo mật chính thức và hành động càng sớm càng tốt để bảo vệ tài sản của bạn.