Vorrei condividere alcuni scenari comuni dietro i compromessi dei wallet, nella speranza che questo aiuti gli utenti a comprendere meglio da dove provengono effettivamente i rischi: 1️⃣ Rischio di chiave privata centralizzata nei prodotti DEX Bot Molti prodotti DEX Bot richiedono agli utenti di caricare le proprie chiavi private sui server, dove vengono memorizzate in testo semplice o in forma decrittabile. 👉 Ciò significa che il personale tecnico interno potrebbe avere accesso alle chiavi private degli utenti e, una volta che un sistema è compromesso, il profilo di rischio diventa effettivamente comparabile a quello di un exchange centralizzato. Di conseguenza, tali prodotti devono soddisfare standard di sicurezza a livello di exchange per essere considerati sicuri. È importante notare che questi prodotti non sono realmente auto-custodiali per natura. In molte giurisdizioni, i fornitori di servizi possono essere considerati soggetti a obblighi di KYC, AML e altre normative di conformità. La mancata osservanza di tali obblighi potrebbe esporre gli operatori a rischi normativi o addirittura penali. 2️⃣ Vulnerabilità o comportamento malevolo nel codice dei wallet auto-custodiali Questo include bug software, attacchi alla catena di fornitura o repository di codice compromessi, che possono portare all'esfiltrazione delle chiavi private. 👉 Un recente incidente di wallet di alto profilo rientra in questa categoria. 3️⃣ Compromissione dei dispositivi degli utenti o esposizione involontaria dei dati I dispositivi degli utenti possono essere infettati da malware in grado di monitorare le sequenze di tasti o l'attività degli appunti. In altri casi, gli utenti memorizzano le frasi di recupero come screenshot, che vengono poi automaticamente salvati nei servizi di foto cloud. 👉 Abbiamo gestito casi legali reali in cui i dipendenti di grandi fornitori di archiviazione foto hanno scritto script lato server per scansionare i backup degli utenti e identificare le immagini contenenti frasi di recupero. 4️⃣ Dipendenza strutturale dalla custodia delle chiavi private per strategie automatizzate Molti utenti si affidano a strategie di trading o esecuzione automatizzate, che spesso richiedono che le chiavi private siano affidate ai fornitori di servizi bot. OKX Wallet si sta preparando a introdurre Smart Accounts, sfruttando la tecnologia Trusted Execution Environment (TEE) per abilitare l'esecuzione di strategie automatizzate senza controllo custodia sulle chiavi private, affrontando questo compromesso di sicurezza di lunga data. 5️⃣ La direzione corretta per l'evoluzione della sicurezza dei wallet Sicurezza e usabilità non sono mutuamente esclusive. La filosofia di design dietro OKX Pay Wallet è quella di combinare: • Sicurezza e controlli di rischio di livello istituzionale • Autenticazione locale controllata dall'utente, come le chiavi di accesso OKX Pay è attualmente un prodotto in fase concettuale e nel corso dell'anno prossimo prevediamo di lanciare una serie di potenti funzionalità per proteggere meglio gli asset per gli utenti mainstream.

Voglio parlare di alcune situazioni comuni in cui i portafogli vengono rubati, spero che possa essere utile a tutti: 1️⃣ Rischio di centralizzazione delle chiavi private nei prodotti DEX Bot Molti prodotti DEX Bot caricano le chiavi private degli utenti sui server, memorizzandole in chiaro o in forma decrittabile. 👉 Questo significa che il personale tecnico interno può accedere alle chiavi private; una volta che si verifica un'intrusione da parte di hacker, il livello di rischio è in realtà equivalente a quello di un exchange. Pertanto, gli standard di sicurezza di questi prodotti devono raggiungere il livello degli exchange, altrimenti il rischio è estremamente alto. Allo stesso tempo, questi prodotti non appartengono essenzialmente a portafogli self-custody. In molte giurisdizioni, i fornitori di servizi correlati potrebbero essere considerati obbligati a rispettare obblighi di conformità come KYC e AML; se non rispettati, potrebbero affrontare rischi di conformità o addirittura penali in futuro. 2️⃣ Rischi di vulnerabilità del codice o di malizia soggettiva nei portafogli self-custody Includono difetti di codice, attacchi alla catena di fornitura, accesso non autorizzato ai repository di codice, che portano al furto e alla divulgazione delle chiavi private. 👉 Qualche giorno fa, un noto portafoglio è stato rubato, rientrando in questa categoria. 3️⃣ Dispositivi terminali degli utenti compromessi o fuga di dati Smartphone o computer infettati da trojan, che monitorano le digitazioni sulla tastiera e il clipboard; oppure screenshot delle frasi di recupero salvati, automaticamente eseguiti dal software di galleria nel cloud. 👉 Abbiamo gestito casi legali reali: un dipendente di un grande fornitore di gallerie ha scritto un programma sul server per esaminare le foto di backup degli utenti, selezionando appositamente le immagini contenenti frasi di recupero. 4️⃣ Dipendenza strutturale delle strategie automatizzate dalla custodia delle chiavi private Molti utenti si affidano alle funzionalità delle strategie automatizzate dei Bot, costretti a custodire le chiavi private presso i fornitori di servizi Bot. Il Smart Account di OKX Wallet, in arrivo, utilizzerà la tecnologia TEE per eseguire strategie automatizzate senza custodire le chiavi private, risolvendo questo conflitto di sicurezza di lunga data. 5️⃣ La giusta direzione per l'evoluzione della sicurezza dei portafogli La sicurezza delle chiavi private e la facilità d'uso non sono in contraddizione. Il concetto di design di OKX Pay Wallet è proprio quello di combinare: • Sicurezza e sistema di gestione del rischio a livello istituzionale • Passkey locale dell'utente / controllo personale OKX Pay è attualmente ancora un prodotto concettuale, ma nel prossimo anno continueremo a introdurre capacità più potenti per proteggere meglio la sicurezza degli asset degli utenti comuni.

È incredibile — e un promemoria per l'intera industria che la sicurezza non è mai "fatta". Per gli utenti: si prega di seguire le linee guida ufficiali sulla sicurezza e di agire il prima possibile per proteggere i propri beni.