Gostaria de compartilhar alguns cenários comuns por trás de compromissos de carteiras, na esperança de que isso ajude os usuários a entender melhor de onde vêm os riscos: 1️⃣ Risco centralizado de chave privada em produtos DEX Bot Muitos produtos DEX Bot exigem que os usuários enviem suas chaves privadas para servidores, onde são armazenadas em texto simples ou em forma decifrável. 👉 Isso significa que a equipe técnica interna pode ter acesso às chaves privadas dos usuários e, uma vez comprometido um sistema, o perfil de risco torna-se efetivamente comparável ao de uma exchange centralizada. Como resultado, tais produtos devem atender a padrões de segurança em nível de bolsa para serem considerados seguros. Importante destacar que esses produtos não são verdadeiramente auto-custodiados por natureza. Em muitas jurisdições, os prestadores de serviços podem ser considerados sujeitos a KYC, AML e outras obrigações de conformidade. O não cumprimento dessas obrigações pode expor os operadores a riscos regulatórios ou até criminais. 2️⃣ Vulnerabilidades ou comportamento malicioso no código de carteira de autocustódia Isso inclui bugs de software, ataques à cadeia de suprimentos ou repositórios de código comprometidos, que podem resultar na exfiltração de chaves privadas. 👉 Um recente incidente de grande repercussão com carteiras se enquadra nessa categoria. 3️⃣ Comprometimento de dispositivos do usuário ou exposição não intencional de dados Dispositivos do usuário podem estar infectados com malware capaz de monitorar pressionamentos de teclas ou atividade na área de transferência. Em outros casos, os usuários armazenam frases de recuperação como capturas de tela, que são automaticamente salvadas em serviços de fotos na nuvem. 👉 Já lidamos com casos legais reais onde funcionários de grandes provedores de armazenamento de fotos escreveram scripts do lado do servidor para escanear backups de usuários e identificar imagens contendo frases de recuperação. 4️⃣ Dependência estrutural da custódia de chaves privadas para estratégias automatizadas Muitos usuários dependem de estratégias automatizadas de negociação ou execução, que frequentemente exigem que chaves privadas sejam confiadas aos provedores de serviços de bots. A OKX Wallet está se preparando para introduzir as Smart Accounts, aproveitando a tecnologia Trusted Execution Environment (TEE) para permitir a execução automatizada de estratégias sem controle custodial sobre chaves privadas, abordando esse antigo compromisso de segurança. 5️⃣ A direção correta para a evolução da segurança da carteira Segurança e usabilidade não são mutuamente exclusivas. A filosofia de design por trás do OKX Pay Wallet é combinar: • Controles de segurança e riscos de nível institucional • Autenticação local controlada pelo usuário, como chaves de acesso O OKX Pay é atualmente um produto em estágio conceitual e, ao longo do próximo ano, planejamos lançar uma série de recursos poderosos para proteger melhor os ativos para os usuários comuns.