Je voudrais partager quelques scénarios courants derrière les compromissions de portefeuilles, dans l'espoir que cela aide les utilisateurs à mieux comprendre d'où viennent réellement les risques : 1️⃣ Risque de clé privée centralisée dans les produits DEX Bot De nombreux produits DEX Bot exigent que les utilisateurs téléchargent leurs clés privées sur des serveurs, où elles sont stockées en texte clair ou sous une forme déchiffrable. 👉 Cela signifie que le personnel technique interne peut avoir accès aux clés privées des utilisateurs, et une fois qu'un système est compromis, le profil de risque devient effectivement comparable à celui d'un échange centralisé. En conséquence, ces produits doivent répondre aux normes de sécurité de niveau échange pour être considérés comme sûrs. Il est important de noter que ces produits ne sont pas véritablement auto-custodiaux par nature. Dans de nombreuses juridictions, les fournisseurs de services peuvent être considérés comme soumis à des obligations de KYC, AML et autres obligations de conformité. Le non-respect de ces obligations pourrait exposer les opérateurs à des risques réglementaires ou même criminels. 2️⃣ Vulnérabilités ou comportements malveillants dans le code des portefeuilles auto-custodiaux Cela inclut des bugs logiciels, des attaques de la chaîne d'approvisionnement ou des dépôts de code compromis, qui peuvent entraîner l'exfiltration de clés privées. 👉 Un incident récent de portefeuille très médiatisé entre dans cette catégorie. 3️⃣ Compromission des appareils des utilisateurs ou exposition involontaire de données Les appareils des utilisateurs peuvent être infectés par des logiciels malveillants capables de surveiller les frappes au clavier ou l'activité du presse-papiers. Dans d'autres cas, les utilisateurs stockent des phrases de récupération sous forme de captures d'écran, qui sont ensuite automatiquement sauvegardées sur des services de photos cloud. 👉 Nous avons traité de véritables affaires juridiques où des employés de grands fournisseurs de stockage de photos ont écrit des scripts côté serveur pour scanner les sauvegardes des utilisateurs et identifier les images contenant des phrases de récupération. 4️⃣ Dépendance structurelle à la garde des clés privées pour les stratégies automatisées De nombreux utilisateurs s'appuient sur des stratégies de trading ou d'exécution automatisées, qui nécessitent souvent que les clés privées soient confiées à des fournisseurs de services de bots. Le portefeuille OKX se prépare à introduire des comptes intelligents, tirant parti de la technologie Trusted Execution Environment (TEE) pour permettre l'exécution de stratégies automatisées sans contrôle de garde sur les clés privées, abordant ce compromis de sécurité de longue date. 5️⃣ La bonne direction pour l'évolution de la sécurité des portefeuilles La sécurité et l'utilisabilité ne sont pas mutuellement exclusives. La philosophie de conception derrière le portefeuille OKX Pay est de combiner : •Sécurité de niveau institutionnel et contrôles de risque •Authentification locale contrôlée par l'utilisateur, comme les clés d'accès OKX Pay est actuellement un produit en phase de concept, et au cours de l'année à venir, nous prévoyons de déployer une gamme de fonctionnalités puissantes pour mieux protéger les actifs des utilisateurs grand public.