Я хотів би поділитися деякими поширеними сценаріями компрометації гаманця, сподіваючись, що це допоможе користувачам краще зрозуміти, звідки насправді беруться ризики: 1️⃣ Централізований ризик приватного ключа в продуктах DEX Bot Багато продуктів DEX Bot вимагають від користувачів завантажувати свої приватні ключі на сервери, де вони зберігаються у відкритому тексті або в розшифровуваній формі. 👉 Це означає, що внутрішній технічний персонал може мати доступ до приватних ключів користувачів, і після компрометації системи профіль ризику фактично стає порівнянним із профілем централізованої біржі. Відповідно, такі продукти повинні відповідати біржовим стандартам безпеки, щоб вважатися безпечними. Важливо, що ці продукти за своєю природою не є самозбереженими. У багатьох юрисдикціях постачальники послуг можуть вважатися підпорядкованими зобов'язанням щодо KYC, AML та інших вимог щодо дотримання вимог. Невиконання таких зобов'язань може наражати операторів на регуляторні або навіть кримінальні ризики. 2️⃣ Вразливості або зловмисна поведінка в коді гаманця самозбереження Це включає програмні помилки, атаки на ланцюг постачання або скомпрометовані репозиторії коду, що може призвести до вилучення приватних ключів. 👉 Нещодавній гучний інцидент із гаманцем належить до цієї категорії. 3️⃣ Компрометація користувацьких пристроїв або ненавмисне розкриття даних Пристрої користувачів можуть бути заражені шкідливим ПЗ, здатним відстежувати натискання клавіш або активність буфера обміну. В інших випадках користувачі зберігають фрази відновлення у вигляді скріншотів, які автоматично резервуються у хмарні фотосервіси. 👉 Ми працювали з реальними юридичними справами, коли працівники великих постачальників зберігання фотографій писали серверні скрипти для сканування резервних копій користувачів і ідентифікації зображень із фразами відновлення. 4️⃣ Структурна залежність від зберігання приватних ключів для автоматизованих стратегій Багато користувачів покладаються на автоматизовані стратегії торгівлі або виконання, які часто вимагають довіри приватних ключів постачальникам послуг ботам. OKX Wallet готується впровадити Smart Accounts, що використовує технологію Trusted Execution Environment (TEE) для автоматизованого виконання стратегій без контролю над приватними ключами, вирішуючи цей давній компроміс у сфері безпеки. 5️⃣ Правильний напрямок для розвитку безпеки гаманця Безпека та зручність використання не є взаємовиключними. Філософія дизайну OKX Pay Wallet полягає в поєднанні: • Інституційний рівень безпеки та контролю ризиків • Локальна автентифікація, керована користувачем, наприклад, ключі доступу OKX Pay наразі є продуктом на стадії концепту, і протягом наступного року ми плануємо впровадити низку потужних функцій для кращого захисту активів для масових користувачів.