Znaczące osiągnięcie w 2025 roku. Krok po kroku, dzień po dniu. Życie idzie naprzód—i ja również, i OKX również.

Chciałbym podzielić się kilkoma powszechnymi scenariuszami związanymi z kompromitacją portfeli, mając nadzieję, że pomoże to użytkownikom lepiej zrozumieć, skąd faktycznie pochodzą ryzyka: 1️⃣ Ryzyko centralizacji kluczy prywatnych w produktach DEX Bot Wiele produktów DEX Bot wymaga od użytkowników przesyłania swoich kluczy prywatnych na serwery, gdzie są one przechowywane w postaci niezaszyfrowanej lub w formie możliwej do odszyfrowania. 👉 Oznacza to, że wewnętrzny personel techniczny może mieć dostęp do kluczy prywatnych użytkowników, a gdy system zostanie skompromitowany, profil ryzyka staje się porównywalny z tym w przypadku scentralizowanej giełdy. W związku z tym takie produkty muszą spełniać standardy bezpieczeństwa na poziomie giełdy, aby mogły być uznane za bezpieczne. Co ważne, produkty te nie są z natury prawdziwie samodzielnie zarządzane. W wielu jurysdykcjach dostawcy usług mogą być uznawani za podlegających KYC, AML i innym obowiązkom zgodności. Niedopełnienie takich obowiązków może narażać operatorów na ryzyko regulacyjne, a nawet karne. 2️⃣ Wrażliwości lub złośliwe zachowanie w kodzie portfela samodzielnego Obejmuje to błędy oprogramowania, ataki na łańcuch dostaw lub skompromitowane repozytoria kodu, które mogą prowadzić do wycieku kluczy prywatnych. 👉 Niedawny głośny incydent z portfelem mieści się w tej kategorii. 3️⃣ Kompromitacja urządzeń użytkowników lub niezamierzone ujawnienie danych Urządzenia użytkowników mogą być zainfekowane złośliwym oprogramowaniem zdolnym do monitorowania naciśnięć klawiszy lub aktywności schowka. W innych przypadkach użytkownicy przechowują frazy odzyskiwania jako zrzuty ekranu, które następnie są automatycznie kopiowane do usług chmurowych do przechowywania zdjęć. 👉 Zajmowaliśmy się rzeczywistymi sprawami prawnymi, w których pracownicy dużych dostawców przechowywania zdjęć pisali skrypty po stronie serwera, aby skanować kopie zapasowe użytkowników i identyfikować obrazy zawierające frazy odzyskiwania. 4️⃣ Strukturalne poleganie na przechowywaniu kluczy prywatnych w strategiach automatycznych Wielu użytkowników polega na automatycznych strategiach handlowych lub wykonawczych, które często wymagają powierzenia kluczy prywatnych dostawcom usług botów. OKX Wallet przygotowuje się do wprowadzenia Smart Accounts, wykorzystując technologię Trusted Execution Environment (TEE), aby umożliwić wykonywanie strategii automatycznych bez kontrolowania kluczy prywatnych, rozwiązując ten długotrwały kompromis w zakresie bezpieczeństwa. 5️⃣ Właściwy kierunek ewolucji bezpieczeństwa portfeli Bezpieczeństwo i użyteczność nie są ze sobą sprzeczne. Filozofia projektowania portfela OKX Pay polega na połączeniu: •Bezpieczeństwa i kontroli ryzyka na poziomie instytucjonalnym •Lokalnej autoryzacji kontrolowanej przez użytkownika, takiej jak klucze dostępu OKX Pay jest obecnie produktem na etapie koncepcji, a w ciągu najbliższego roku planujemy wprowadzić szereg potężnych funkcji, aby lepiej chronić aktywa dla użytkowników mainstreamowych.

Chciałbym omówić kilka powszechnych sytuacji związanych z kradzieżą portfela, mam nadzieję, że to pomoże wszystkim: 1️⃣ Ryzyko centralizacji kluczy prywatnych w produktach typu DEX Bot Wiele produktów DEX Bot przesyła klucze prywatne użytkowników na serwery, przechowując je w formie jawnej lub możliwej do odszyfrowania. 👉 Oznacza to, że wewnętrzni technicy mogą mieć dostęp do kluczy prywatnych, a w przypadku ataku hakerskiego, poziom ryzyka jest w rzeczywistości równy ryzyku na giełdzie. Dlatego standardy bezpieczeństwa tych produktów muszą być na poziomie giełdy, w przeciwnym razie ryzyko jest bardzo wysokie. Jednocześnie te produkty w zasadzie nie są portfelami samodzielnie zarządzanymi. W większości jurysdykcji odpowiednie usługi mogą być zobowiązane do przestrzegania obowiązków związanych z KYC, AML itp.; jeśli nie zostaną spełnione, w przyszłości mogą napotkać ryzyko zgodności, a nawet karne. 2️⃣ Ryzyko luk w kodzie lub subiektywnego działania w portfelach samodzielnie zarządzanych Obejmuje to wady w kodzie, ataki na łańcuch dostaw, włamania do repozytoriów kodu, które prowadzą do kradzieży kluczy prywatnych i ich ujawnienia. 👉 Kilka dni temu znany portfel został skradziony, co należy do tego typu. 3️⃣ Naruszenie urządzeń końcowych użytkowników lub wyciek danych Telefony komórkowe lub komputery mogą być zainfekowane trojanami, które podsłuchują wprowadzenie z klawiatury, schowka; lub zrzuty ekranu z frazami mnemoniki mogą być automatycznie kopiowane do chmury przez oprogramowanie do zarządzania zdjęciami. 👉 Zajmowaliśmy się prawdziwymi sprawami sądowymi: pracownik dużego producenta oprogramowania do zarządzania zdjęciami napisał program na serwerze, który przeszukiwał zdjęcia użytkowników w poszukiwaniu obrazów zawierających frazy mnemoniki. 4️⃣ Strukturalna zależność strategii automatyzacji od zarządzania kluczami prywatnymi Wielu użytkowników polega na funkcjach strategii automatyzacji Botów, zmuszając się do powierzenia kluczy prywatnych dostawcom usług Bot. Nadchodzące Smart Account w OKX Wallet wykorzysta technologię TEE, aby zrealizować wykonanie strategii automatyzacji bez zarządzania kluczami prywatnymi, rozwiązując ten długotrwały problem bezpieczeństwa. 5️⃣ Prawidłowy kierunek ewolucji bezpieczeństwa portfela Bezpieczeństwo kluczy prywatnych i łatwość użycia nie są ze sobą sprzeczne. Koncepcja projektowa OKX Pay Wallet łączy: • bezpieczeństwo na poziomie instytucjonalnym i systemy zarządzania ryzykiem • lokalne klucze dostępu użytkownika / kontrola przez użytkownika OKX Pay jest obecnie produktem koncepcyjnym, ale w ciągu następnego roku będziemy wprowadzać coraz potężniejsze możliwości, aby lepiej chronić bezpieczeństwo aktywów zwykłych użytkowników.