Ich möchte einige häufige Szenarien hinter Wallet-Kompromittierungen teilen, in der Hoffnung, dass dies den Nutzern hilft, besser zu verstehen, woher die Risiken tatsächlich kommen: 1️⃣ Risiko zentralisierter privater Schlüssel in DEX-Bot-Produkten Viele DEX-Bot-Produkte erfordern, dass Nutzer ihre privaten Schlüssel auf Server hochladen, wo sie im Klartext oder in entschlüsselbarer Form gespeichert werden. 👉 Das bedeutet, dass internes technisches Personal möglicherweise Zugriff auf die privaten Schlüssel der Nutzer hat, und sobald ein System kompromittiert ist, wird das Risikoprofil effektiv vergleichbar mit dem eines zentralisierten Austauschs. Infolgedessen müssen solche Produkte Sicherheitsstandards auf Austauschniveau erfüllen, um als sicher angesehen zu werden. Wichtig ist, dass diese Produkte von Natur aus nicht wirklich selbstverwahrend sind. In vielen Jurisdiktionen können Dienstanbieter als KYC-, AML- und anderen Compliance-Verpflichtungen unterworfen angesehen werden. Das Versäumnis, solche Verpflichtungen zu erfüllen, könnte Betreiber regulatorischen oder sogar strafrechtlichen Risiken aussetzen. 2️⃣ Schwachstellen oder böswilliges Verhalten im Code selbstverwahrender Wallets Dies umfasst Softwarefehler, Angriffe auf die Lieferkette oder kompromittierte Code-Repositories, die dazu führen können, dass private Schlüssel exfiltriert werden. 👉 Ein kürzliches hochkarätiges Wallet-Ereignis fällt in diese Kategorie. 3️⃣ Kompromittierung von Benutzergeräten oder unbeabsichtigte Datenexposition Benutzergeräte können mit Malware infiziert sein, die in der Lage ist, Tastatureingaben oder Aktivitäten in der Zwischenablage zu überwachen. In anderen Fällen speichern Nutzer Wiederherstellungssätze als Screenshots, die dann automatisch in Cloud-Fotoservices gesichert werden. 👉 Wir haben echte rechtliche Fälle behandelt, in denen Mitarbeiter großer Foto-Speicheranbieter serverseitige Skripte schrieben, um Benutzer-Backups zu scannen und Bilder zu identifizieren, die Wiederherstellungssätze enthalten. 4️⃣ Strukturelle Abhängigkeit von der Verwahrung privater Schlüssel für automatisierte Strategien Viele Nutzer verlassen sich auf automatisierte Handels- oder Ausführungsstrategien, die oft erfordern, dass private Schlüssel den Bot-Dienstanbietern anvertraut werden. OKX Wallet bereitet sich darauf vor, Smart Accounts einzuführen, die die Trusted Execution Environment (TEE)-Technologie nutzen, um die Ausführung automatisierter Strategien ohne verwahrende Kontrolle über private Schlüssel zu ermöglichen und so diesen langjährigen Sicherheitskompromiss anzugehen. 5️⃣ Die richtige Richtung für die Evolution der Wallet-Sicherheit Sicherheit und Benutzerfreundlichkeit schließen sich nicht gegenseitig aus. Die Designphilosophie hinter OKX Pay Wallet besteht darin, zu kombinieren: •Sicherheits- und Risikokontrollen auf institutionellem Niveau •Benutzerkontrollierte lokale Authentifizierung, wie Passkeys OKX Pay ist derzeit ein Produkt in der Konzeptphase, und im kommenden Jahr planen wir, eine Reihe leistungsstarker Funktionen einzuführen, um die Vermögenswerte für Mainstream-Nutzer besser zu schützen.