談安全離不開它的反義詞，風(fēng)險(xiǎn)。

近期，MIxin、 CoinEx 被盜以及 HTX 熱錢包被攻擊等一系列安全事件的發(fā)生，讓投資者再次將目光聚集到行業(yè)安全問題上。

據(jù)派盾統(tǒng)計(jì)，截至 9 月 25 日， Mixin （損失 2 億美元）、 Euler Labs（損失 1.97 億美元，黑客已退還）、Vyper/ Curve （損失 7360 萬美元，黑客退還 5230 萬美元）、CoinEx（損失 7000 萬美元）、 Atomic Wallet（損失 6500 萬美元）、Stake（損失 4100 萬美元）、 CoinsPaid （損失 3770 萬美元）、 Poly Network （損失 2600 萬美元）、low-carb-crusader（損失 2500 萬美元）、針對(duì)巨鯨的網(wǎng)絡(luò)釣魚（損失 2400 萬美元）等金額前十大的黑客 攻擊事件中產(chǎn)生的總損失不少于 6 億元。

在加密世界這個(gè)黑暗森林中，黑客 攻擊、釣魚詐 騙等各種風(fēng)險(xiǎn)無時(shí)無刻不在發(fā)生。

本文將以把安全第一作為產(chǎn)品設(shè)計(jì)第一原理的 OKX 為樣本，系統(tǒng)化拆解 OKX Web3 錢包與 OKX CEX 的安全體系，從團(tuán)隊(duì)所做、所思與所想中挖掘出 Web3 安全世界里的本質(zhì)問題。

關(guān)于錢包安全，識(shí)別、標(biāo)記以及實(shí)時(shí)攔截風(fēng)險(xiǎn)是關(guān)鍵

據(jù) CertiK 發(fā)布的 2023 年第二季度 Web3.0 行業(yè)安全報(bào)告統(tǒng)計(jì)，CertiK 總共發(fā)現(xiàn) 212 起安全事件，黑客等惡意行為者已從 Web3.0 行業(yè)中榨取價(jià)值 3.1 億美元代幣?？梢婃溕腺Y產(chǎn)安全問題的嚴(yán)峻性。

以人們常用的 Ethereum 的 EOA 賬戶為例，一般情況只有在私鑰丟失、使用 approve 函數(shù)授權(quán)惡意合約、使用 permit 功能對(duì)植入惡意轉(zhuǎn)幣消息進(jìn)行簽名的情況下，資產(chǎn)才有可能被轉(zhuǎn)走。

在私鑰丟失問題上，一方面是人為經(jīng)驗(yàn)不足導(dǎo)致的助記詞丟失，這種情況多發(fā)生在剛?cè)胄械男“咨砩?；另一方面則可能是玩家在領(lǐng)取空投時(shí)登陸釣魚網(wǎng)站主動(dòng)填寫私鑰和助記詞導(dǎo)致的。這兩種情況都很常見，當(dāng)然，也有下載到惡意錢包或錢包所在電腦/手機(jī)被植入木馬程序最后被黑客控制的情況發(fā)生，只不過現(xiàn)在的手機(jī)和電腦，只要去正規(guī)網(wǎng)站下載軟件并記得及時(shí)升級(jí)到最新版本，同時(shí)有基本的網(wǎng)絡(luò)安全常識(shí)的話則很難中招。

針對(duì)人為經(jīng)驗(yàn)不足導(dǎo)致的私鑰丟失問題，OKX Web3 錢包通過推出 MPC 無私鑰錢包幫助用戶規(guī)避風(fēng)險(xiǎn)。

MPC 全名 Multi-Party Computation 多方計(jì)算，可簡(jiǎn)單理解為多簽錢包。 OKX Web3 MPC 錢包運(yùn)用 MPC 技術(shù)將私鑰打成碎片一分為三，分別由 OKX 交易所、用戶設(shè)備、云端備份（iCloud/ Google Drive）保管，用戶在創(chuàng)建錢包時(shí)，只需要登入 OKX APP 選擇以無私鑰錢包方式創(chuàng)建地址，并開啟云端備份來備份第三份碎片即可，無需手動(dòng)保管助記詞，并且用戶在使用時(shí)需要 2/3 個(gè)碎片才能夠完成簽名授權(quán)，所有交易過程均不會(huì)出現(xiàn)私鑰明文。在一定程度上解決了私鑰外泄導(dǎo)致的資產(chǎn)安全問題。此外，OKX 還為 MPC 錢包設(shè)置了緊急逃生功能，用戶在遇到特殊狀況時(shí)，只需要在緊急出口輸入云端備份密碼，即可快速地獲得私鑰并移轉(zhuǎn)資產(chǎn)，安全且便捷。

人為經(jīng)驗(yàn)不足導(dǎo)致的助記詞相關(guān)安全問題一般多發(fā)于入門群體，對(duì)于有交互經(jīng)驗(yàn)的用戶來講，風(fēng)險(xiǎn)多發(fā)于 approve 授權(quán)和 permit 簽名這兩個(gè)環(huán)節(jié)，比如上述提及的釣魚風(fēng)險(xiǎn)等。

approve 函數(shù)是鏈上交互中的重要一環(huán)，允許合約調(diào)用 transferForm 函數(shù)，按合約代碼里約定好的規(guī)則來轉(zhuǎn)移地址中的資產(chǎn)。一旦 approve 授權(quán)到惡意合約，將面臨較大資產(chǎn)被盜風(fēng)險(xiǎn)。

簽名風(fēng)險(xiǎn)則主要源于 erc 20 協(xié)議的 permit 擴(kuò)展功能，該功能允許用戶通過簽名消息來完成授權(quán)操作，并將簽名結(jié)果發(fā)送給另外一個(gè)錢包以完成資產(chǎn)轉(zhuǎn)移操作。常見于用戶使用 DEX 掛單功能時(shí)，以 1inch 的 Fusion 功能為例，該功能讓用戶對(duì)掛單的消息進(jìn)行簽名，簽名后用戶可以在不支付 gas 的情況下將資產(chǎn)委托給 1inch 處理，然后 1inch 會(huì)提供用戶想購(gòu)買的幣。在此過程中，如某網(wǎng)站偽造惡意消息讓用戶簽名，后果大概率會(huì)令人惋惜。

因此，風(fēng)險(xiǎn)監(jiān)測(cè)顯得尤為重要。

OKX Web3 團(tuán)隊(duì)開發(fā)了整理授權(quán)管理頁(yè)面，用戶可以直接在該頁(yè)面查看自己在協(xié)議和幣種上的授權(quán)情況，同時(shí)可在該頁(yè)面直接取消授權(quán)，以規(guī)避不必要的風(fēng)險(xiǎn)。對(duì)于那些惡意風(fēng)險(xiǎn)合約，OKX Web3 錢包通過接入 KYT 天眼系統(tǒng)來幫助用戶進(jìn)行風(fēng)險(xiǎn)檢測(cè)，目前該系統(tǒng)收錄 3 億多條加密貨幣地址，能夠在用戶涉及到惡意地址、可疑交易（貔貅盤/釣魚等）時(shí)進(jìn)行有效的風(fēng)險(xiǎn)檢測(cè)與自動(dòng)預(yù)警。

OKX Web3 團(tuán)隊(duì)安全架構(gòu)負(fù)責(zé)人 Neil 表示，OKX 接下來將對(duì)地址標(biāo)簽進(jìn)行分層處理，白名單地址通過普通提示進(jìn)行處理，灰名單地址通過普通風(fēng)險(xiǎn)提示進(jìn)行處理，黑名單地址將直接進(jìn)行攔截，未來團(tuán)隊(duì)將在風(fēng)險(xiǎn)預(yù)防、風(fēng)險(xiǎn)清理、風(fēng)險(xiǎn)兜底以及用戶教育等各方面持續(xù)建設(shè)，以加強(qiáng)安全防護(hù)體系，堅(jiān)定不移地做好用戶的安全衛(wèi)士。

其實(shí)，除了交互環(huán)境隱藏的風(fēng)險(xiǎn)外，錢包本身的安全也尤為重要。目前，OKX Web3 錢包已完成多鏈簽名 SDK 全面開源，MPC 無私鑰錢包核心算法開源，AA 錢包開源以及 BRC 20-S 開源。代碼開源的意義在于實(shí)現(xiàn)產(chǎn)品的透明、可靠，并在接受同行“評(píng)判”同時(shí)推動(dòng)開發(fā)者之間的交流與開放式協(xié)作，進(jìn)而推動(dòng) Web3 技術(shù)的發(fā)展進(jìn)步。

當(dāng)然，除了鏈上各種風(fēng)險(xiǎn)外，諸如 FTX 等中心化平臺(tái)坍塌而引發(fā)的系統(tǒng)性風(fēng)險(xiǎn)則更令人擔(dān)憂。 

關(guān)于 CEX 安全，重點(diǎn)是自監(jiān)管與搭建過硬風(fēng)控體系

從 Fcoin 跑路到 FTX 暴雷，過去幾年，不少 CEX 平臺(tái)都沒有逃過隕落的魔咒。究其原因，多為快速增長(zhǎng)與企業(yè)責(zé)任意識(shí)錯(cuò)配背景下的內(nèi)部管理不善導(dǎo)致的，當(dāng)然，更根本的原因還是在于人性。

因此自約束、自監(jiān)管成為 CEX 必做之事。

自去年年底以來，行業(yè)頭部企業(yè)紛紛啟動(dòng)自監(jiān)管模式，通過 POR 等機(jī)制來提升資金透明度，將用戶資金情況上鏈進(jìn)行公開披露。

據(jù)官方信息顯示，OKX 已連續(xù) 11 個(gè)月發(fā)布儲(chǔ)備金證明， 22 個(gè)公示幣種的儲(chǔ)備金率均超過 100% ，其中 BTC、ETH、USDT 的儲(chǔ)備金率分別為 102% 、 103% 和 102% ，三者總計(jì)價(jià)值達(dá) 112 億美元，是行業(yè)為數(shù)不多的按月發(fā)布儲(chǔ)備金證明的主流加密交易所。相關(guān)人士表示，OKX 致力于提升 POR 透明度至傳統(tǒng)金融審計(jì)標(biāo)準(zhǔn)，將持續(xù)引領(lǐng)行業(yè)安全透明，現(xiàn)已通過 zk-STARK 等創(chuàng)新技術(shù)升級(jí) POR 系統(tǒng)，用戶隨時(shí)可以獨(dú)立驗(yàn)證 OKX 的償付能力。截止目前，已有數(shù)十萬用戶參與訪問 POR 頁(yè)面并完成自行驗(yàn)證。

談 CEX 的安全永遠(yuǎn)逃不開人性的弱點(diǎn)，但這可不是短期內(nèi)能夠被克服的。對(duì)于普通用戶而言，更該關(guān)注如何在極端事件發(fā)生的時(shí)候保證資產(chǎn)安全？對(duì)于平臺(tái)來講，則更需要清楚地意識(shí)到幫助用戶在危機(jī)中“獨(dú)善其身”才是最核心的競(jìng)爭(zhēng)力。

Luna 崩盤事件，OKX 風(fēng)控系統(tǒng)第一時(shí)間啟動(dòng)自動(dòng)贖回機(jī)制，幫助參與 UST 理財(cái)?shù)挠脩繇樌氵^一劫；3 Commas API 數(shù)據(jù) 泄露事件中，OKX 是其合作的眾多交易所中唯一用戶 0 損失且安全性能最完備的平臺(tái)，面對(duì)種種考驗(yàn)，OKX 都展現(xiàn)出了過硬的“素質(zhì)”。

能夠多次穿越風(fēng)浪，核心在于 OKX 團(tuán)隊(duì)總是會(huì)提前模擬潛在可能發(fā)生的風(fēng)險(xiǎn)，并將大量時(shí)間和精力投入到風(fēng)險(xiǎn)控制體系的建立與迭代上。風(fēng)控系統(tǒng)相關(guān)負(fù)責(zé)人表示：“OKX 的 API 系統(tǒng)中具備強(qiáng)大的 Fast API 功能、IP 白名單、反擊欺詐風(fēng)控以及三方白名單功能，這些都是 OKX API 風(fēng)險(xiǎn)控制體系的核心功能，即使黑客入侵 API 密鑰，也無法輕易使用密鑰，雖然用戶平時(shí)無法感知到這些措施的存在，但它們總是在關(guān)鍵時(shí)刻默默發(fā)揮作用。”

確實(shí)如此，安全并不需要性感的故事，其本質(zhì)還在于平臺(tái)能否堅(jiān)持時(shí)刻具備責(zé)任意識(shí)，這似乎就需要支點(diǎn)了，該風(fēng)控負(fù)責(zé)人坦言，OKX 責(zé)任意識(shí)的支點(diǎn)在于希望推動(dòng)“科技向善”在 Web3 生根發(fā)芽。

回到安全問題的本質(zhì)

隨著行業(yè)發(fā)展，安全問題的類型會(huì)越來越多，尤其是在當(dāng)前市場(chǎng)環(huán)境下，不少黑客都將矛頭指向了加密世界。對(duì)于安全守護(hù)者來講，面臨的挑戰(zhàn)也將越來越多?；蛟S唯有具有這樣的信念才能支撐 OKX 不斷前行。

通過拆解 OKX 的安全體系，可以明顯看出其在 Web3 安全的問題上的做法與心法，他們已經(jīng)捋清了 Web3 安全世界發(fā)展的兩大脈絡(luò)，且已經(jīng)沿著兩大脈絡(luò)建立了過硬防線。

雖然安全問題最終總是會(huì)回到人心向善還是向惡的問題上，但作為普通用戶，我們很難做出甄別，只能盡力提高安全防范意識(shí)，盡可能選擇影響力大的平臺(tái)，因?yàn)橛绊懥υ酱?，越愛惜自身羽毛，越能?jiān)持正念。

你可能感興趣的文章

• 

  領(lǐng)跑Web3錢包賽道，OKX Wallet 3條核心產(chǎn)品觀

  在 OKX Web3 錢包這類領(lǐng)先的 Web3 產(chǎn)品身上、可以非常直觀的感受到創(chuàng)新、以用戶需求為導(dǎo)向等諸多 Web2 時(shí)代所繼承和發(fā)揚(yáng)而來的優(yōu)秀產(chǎn)品觀念,OKX Wallet 3保護(hù)用戶資產(chǎn)安全…

  2023-10-17
• 

  OKX Wallet 如何實(shí)現(xiàn) 7X24 安全值守？

  OKX Web3 錢包是在創(chuàng)新和安全層面做的最好的錢包之一，首創(chuàng)多個(gè)獨(dú)家功能同時(shí)，保持了零安全事故記錄，7X24 為用戶資產(chǎn)安全值守,下面一起來看看詳細(xì)介紹吧…

  2023-10-12
• 

  Web3錢包開發(fā)指南，打通用戶邁向加密的第一步

  Web3錢包市場(chǎng)的競(jìng)爭(zhēng)已進(jìn)入白熱化的狀態(tài)，各大錢包項(xiàng)目在升級(jí)UI界面、豐富錢包功能設(shè)置的同時(shí)，也新增了諸多用戶友好的隱私功能,下面是Web3錢包開發(fā)指南，低門檻、個(gè)性化、…

  2023-08-29
• 

  香港數(shù)碼港：超180家Web3企業(yè)入駐 推動(dòng)數(shù)碼港元(e-HKD)錢包

  據(jù)香港媒體《明報(bào)》今(28)晨報(bào)導(dǎo)，自今年初成立Web3基地「數(shù)碼港」后，至今已有逾百家公司進(jìn)駐數(shù)碼港，累計(jì)超180家Web3公司建構(gòu)整個(gè)生態(tài)圈,港府最新一份財(cái)政預(yù)算案也撥款50…

  2023-08-28
• 

  Binance Labs負(fù)責(zé)人何一解釋Launchpad疑慮！揭露幣安Web3錢包

  這篇文章主要介紹了Binance Labs負(fù)責(zé)人何一解釋Launchpad疑慮！揭露幣安Web3錢包的相關(guān)資料,需要的朋友可以參考下…

  2023-06-05
• 

  Bitget對(duì)Web3.0多鏈錢包Bitkeep投資3000萬美元 成其控股股東

  這篇文章主要介紹了Bitget對(duì)Web3.0多鏈錢包Bitkeep投資3000萬美元 成其控股股東的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2023-04-27
• 

  OKX Jumpstart:SUI新幣銷售 Web3錢包空投活動(dòng)正式上線

  OKX Jumpstart 將于2023 年4 月23 日(UTC+8) 開啟SUI 新幣銷售，活動(dòng)將采用最新的「認(rèn)購(gòu)+抽簽」方式銷售SUI幣，銷售價(jià)格為1 Sui=0.1 美元，支付幣種為OKB…

  2023-04-17
• 

  OKX Web3錢包與NFT借貸協(xié)議ParaSpace達(dá)成官方合作

  OKX Web3 官方消息，OKX Web3 錢包與去中心化的 NFT 借貸協(xié)議 ParaSpace 達(dá)成官方合作關(guān)系，用戶可連接 OKX Web3 錢包在 ParaSpace 進(jìn)行 NFT 資產(chǎn)的借貸…

  2023-03-31
• 

  Web3 域名統(tǒng)治者：一文全覽 ENS 現(xiàn)狀與前景

  這篇文章主要介紹了Web3 域名統(tǒng)治者：一文全覽 ENS 現(xiàn)狀與前景的相關(guān)資料,需要的朋友可以參考下…

  2023-03-17
• 

  萬事達(dá)卡開放USDC結(jié)算！可整合Web3錢包以加密貨幣支付

  這篇文章主要介紹了萬事達(dá)卡開放USDC結(jié)算！可整合Web3錢包以加密貨幣支付的相關(guān)資料,需要的朋友可以參考下…

  2023-02-23