Rád bych se podělil o některé běžné scénáře kompromitací peněženek v naději, že to uživatelům pomůže lépe pochopit, odkud rizika skutečně pocházejí: 1️⃣ Centralizované riziko soukromých klíčů v produktech DEX Bot Mnoho produktů DEX Botů vyžaduje, aby uživatelé nahrávali své soukromé klíče na servery, kde jsou uloženy v čistém textu nebo v dešifrovatelné podobě. 👉 To znamená, že interní technický personál může mít přístup k uživatelským soukromým klíčům a jakmile je systém kompromitován, rizikový profil se efektivně stává srovnatelným s centralizovanou burzou. Výsledkem je, že takové produkty musí splňovat bezpečnostní standardy na burzové úrovni, aby byly považovány za bezpečné. Důležité je, že tyto produkty nejsou ze své podstaty skutečně samopečovatelné. V mnoha jurisdikcích mohou být poskytovatelé služeb považováni za povinné dodržovat KYC, AML a další povinnosti v oblasti dodržování předpisů. Nesplnění těchto povinností by mohlo vystavit provozovatele regulačním nebo dokonce trestním rizikům. 2️⃣ Zranitelnosti nebo škodlivé chování v kódu peněženky s vlastním správcem To zahrnuje softwarové chyby, útoky na dodavatelský řetězec nebo kompromitované kódové úložiště, které mohou vést k exfiltraci soukromých klíčů. 👉 Nedávný vysoce medializovaný incident s peněženkou spadá do této kategorie. 3️⃣ Kompromitace uživatelských zařízení nebo nechtěné vystavení dat Uživatelská zařízení mohou být infikována malwarem schopným monitorovat stisky kláves nebo aktivitu na schránkovém serveru. V jiných případech uživatelé ukládají obnovovací fráze jako snímky obrazovky, které jsou pak automaticky zálohovány do cloudových fotoservisů. 👉 Řešili jsme skutečné právní případy, kdy zaměstnanci velkých poskytovatelů fotoúložišť psali serverové skripty ke skenování záložek uživatelů a identifikaci obrázků obsahujících obnovovací fráze. 4️⃣ Strukturální závislost na úschově soukromých klíčů pro automatizované strategie Mnoho uživatelů spoléhá na automatizované obchodní nebo exekuční strategie, které často vyžadují, aby byly soukromé klíče svěřeny poskytovatelům bot služeb. OKX Wallet se připravuje na zavedení chytrých účtů, využívajících technologii Trusted Execution Environment (TEE) k automatizovanému provádění strategií bez nutnosti kontroly soukromých klíčů, čímž řeší tento dlouhodobý bezpečnostní kompromis. 5️⃣ Správný směr vývoje bezpečnosti peněženek Bezpečnost a použitelnost se nevylučují. Designová filozofie OKX Pay Wallet spočívá v kombinaci: • Institucionální bezpečnostní a rizikové kontroly •Uživatelem řízené lokální ověřování, například přístupové klíče OKX Pay je v současnosti produktem ve fázi konceptu a v příštím roce plánujeme zavést řadu výkonných funkcí, které lépe ochrání aktiva pro běžné uživatele.