Vorrei condividere alcuni scenari comuni dietro i compromessi dei wallet, nella speranza che questo aiuti gli utenti a comprendere meglio da dove provengono effettivamente i rischi: 1️⃣ Rischio di chiave privata centralizzata nei prodotti DEX Bot Molti prodotti DEX Bot richiedono agli utenti di caricare le proprie chiavi private sui server, dove vengono memorizzate in testo semplice o in forma decrittabile. 👉 Ciò significa che il personale tecnico interno potrebbe avere accesso alle chiavi private degli utenti e, una volta che un sistema è compromesso, il profilo di rischio diventa effettivamente comparabile a quello di un exchange centralizzato. Di conseguenza, tali prodotti devono soddisfare standard di sicurezza a livello di exchange per essere considerati sicuri. È importante notare che questi prodotti non sono realmente auto-custodiali per natura. In molte giurisdizioni, i fornitori di servizi possono essere considerati soggetti a obblighi di KYC, AML e altre normative di conformità. La mancata osservanza di tali obblighi potrebbe esporre gli operatori a rischi normativi o addirittura penali. 2️⃣ Vulnerabilità o comportamento malevolo nel codice dei wallet auto-custodiali Questo include bug software, attacchi alla catena di fornitura o repository di codice compromessi, che possono portare all'esfiltrazione delle chiavi private. 👉 Un recente incidente di wallet di alto profilo rientra in questa categoria. 3️⃣ Compromissione dei dispositivi degli utenti o esposizione involontaria dei dati I dispositivi degli utenti possono essere infettati da malware in grado di monitorare le sequenze di tasti o l'attività degli appunti. In altri casi, gli utenti memorizzano le frasi di recupero come screenshot, che vengono poi automaticamente salvati nei servizi di foto cloud. 👉 Abbiamo gestito casi legali reali in cui i dipendenti di grandi fornitori di archiviazione foto hanno scritto script lato server per scansionare i backup degli utenti e identificare le immagini contenenti frasi di recupero. 4️⃣ Dipendenza strutturale dalla custodia delle chiavi private per strategie automatizzate Molti utenti si affidano a strategie di trading o esecuzione automatizzate, che spesso richiedono che le chiavi private siano affidate ai fornitori di servizi bot. OKX Wallet si sta preparando a introdurre Smart Accounts, sfruttando la tecnologia Trusted Execution Environment (TEE) per abilitare l'esecuzione di strategie automatizzate senza controllo custodia sulle chiavi private, affrontando questo compromesso di sicurezza di lunga data. 5️⃣ La direzione corretta per l'evoluzione della sicurezza dei wallet Sicurezza e usabilità non sono mutuamente esclusive. La filosofia di design dietro OKX Pay Wallet è quella di combinare: • Sicurezza e controlli di rischio di livello istituzionale • Autenticazione locale controllata dall'utente, come le chiavi di accesso OKX Pay è attualmente un prodotto in fase concettuale e nel corso dell'anno prossimo prevediamo di lanciare una serie di potenti funzionalità per proteggere meglio gli asset per gli utenti mainstream.