以OKX安全体系为样本,捋清Web3安全世界的两大脉络

谈安全离不开它的反义词,风险。

近期,MIxin、CoinEx 被盗以及 HTX 热钱包被攻击等一系列安全事件的发生,让投资者再次将目光聚集到行业安全问题上。

据派盾统计,截至 9 月 25 日,Mixin(损失 2 亿美元)、Euler Labs(损失 1.97 亿美元,黑客已退还)、Vyper/Curve(损失 7360 万美元,黑客退还 5230 万美元)、CoinEx(损失 7000 万美元)、Atomic Wallet(损失 6500 万美元)、Stake(损失 4100 万美元)、CoinsPaid(损失 3770 万美元)、Poly Network(损失 2600 万美元)、low-carb-crusader(损失 2500 万美元)、针对巨鲸的网络钓鱼(损失 2400 万美元)等金额前十大的黑客攻击事件中产生的总损失不少于 6 亿元。

在加密世界这个黑暗森林中,黑客攻击、钓鱼诈骗等各种风险无时无刻不在发生。

本文将以把安全第一作为产品设计第一原理的 OKX 为样本,系统化拆解 OKX Web3 钱包与 OKX CEX 的安全体系,从团队所做、所思与所想中挖掘出 Web3 安全世界里的本质问题。

关于钱包安全,识别、标记以及实时拦截风险是关键

据 CertiK 发布的 2023 年第二季度 Web3.0 行业安全报告统计,CertiK 总共发现 212 起安全事件,黑客等恶意行为者已从 Web3.0 行业中榨取价值 3.1 亿美元代币。可见链上资产安全问题的严峻性。

以人们常用的 Ethereum 的 EOA 账户为例,一般情况只有在私钥丢失、使用 approve 函数授权恶意合约、使用 permit 功能对植入恶意转币消息进行签名的情况下,资产才有可能被转走。

在私钥丢失问题上,一方面是人为经验不足导致的助记词丢失,这种情况多发生在刚入行的小白身上;另一方面则可能是玩家在领取空投时登陆钓鱼网站主动填写私钥和助记词导致的。这两种情况都很常见,当然,也有下载到恶意钱包或钱包所在电脑/手机被植入木马程序最后被黑客控制的情况发生,只不过现在的手机和电脑,只要去正规网站下载软件并记得及时升级到最新版本,同时有基本的网络安全常识的话则很难中招。

针对人为经验不足导致的私钥丢失问题,OKX Web3 钱包通过推出 MPC 无私钥钱包帮助用户规避风险。

MPC 全名 Multi-Party Computation 多方计算,可简单理解为多签钱包。OKX Web3 MPC 钱包运用 MPC 技术将私钥打成碎片一分为三,分别由 OKX 交易平台、用户设备、云端备份(iCloud/Google Drive)保管,用户在创建钱包时,只需要登入 OKX APP 选择以无私钥钱包方式创建地址,并开启云端备份来备份第三份碎片即可,无需手动保管助记词,并且用户在使用时需要 2/3 个碎片才能够完成签名授权,所有交易过程均不会出现私钥明文。在一定程度上解决了私钥外泄导致的资产安全问题。此外,OKX 还为 MPC 钱包设置了紧急逃生功能,用户在遇到特殊状况时,只需要在紧急出口输入云端备份密码,即可快速地获得私钥并移转资产,安全且便捷。

人为经验不足导致的助记词相关安全问题一般多发于入门群体,对于有交互经验的用户来讲,风险多发于 approve 授权和 permit 签名这两个环节,比如上述提及的钓鱼风险等。

approve 函数是链上交互中的重要一环,允许合约调用 transferForm 函数,按合约代码里约定好的规则来转移地址中的资产。一旦 approve 授权到恶意合约,将面临较大资产被盗风险。

签名风险则主要源于 erc20 协议的 permit 扩展功能,该功能允许用户通过签名消息来完成授权操作,并将签名结果发送给另外一个钱包以完成资产转移操作。常见于用户使用 DEX 挂单功能时,以 1inch 的 Fusion 功能为例,该功能让用户对挂单的消息进行签名,签名后用户可以在不支付 gas 的情况下将资产委托给 1inch 处理,然后 1inch 会提供用户想购买的币。在此过程中,如某网站伪造恶意消息让用户签名,后果大概率会令人惋惜。

因此,风险监测显得尤为重要。

OKX Web3 团队开发了整理授权管理页面,用户可以直接在该页面查看自己在协议和币种上的授权情况,同时可在该页面直接取消授权,以规避不必要的风险。对于那些恶意风险合约,OKX Web3 钱包通过接入 KYT 天眼系统来帮助用户进行风险检测,目前该系统收录 3 亿多条加密货币地址,能够在用户涉及到恶意地址、可疑交易(貔貅盘/钓鱼等)时进行有效的风险检测与自动预警。

OKX Web3 团队安全架构负责人 Neil 表示,OKX 接下来将对地址标签进行分层处理,白名单地址通过普通提示进行处理,灰名单地址通过普通风险提示进行处理,黑名单地址将直接进行拦截,未来团队将在风险预防、风险清理、风险兜底以及用户教育等各方面持续建设,以加强安全防护体系,坚定不移地做好用户的安全卫士。

其实,除了交互环境隐藏的风险外,钱包本身的安全也尤为重要。目前,OKX Web3 钱包已完成多链签名 SDK 全面开源,MPC 无私钥钱包核心算法开源,AA 钱包开源以及 BRC20-S 开源。代码开源的意义在于实现产品的透明、可靠,并在接受同行「评判」同时推动开发者之间的交流与开放式协作,进而推动 Web3 技术的发展进步。

当然,除了链上各种风险外,诸如 FTX 等中心化平台坍塌而引发的系统性风险则更令人担忧。

关于 CEX 安全,重点是自监管与搭建过硬风控体系

从 Fcoin 跑路到 FTX 暴雷,过去几年,不少 CEX 平台都没有逃过陨落的魔咒。究其原因,多为快速增长与企业责任意识错配背景下的内部管理不善导致的,当然,更根本的原因还是在于人性。

因此自约束、自监管成为 CEX 必做之事。

自去年年底以来,行业头部企业纷纷启动自监管模式,通过 POR 等机制来提升资金透明度,将用户资金情况上链进行公开披露。

据官方信息显示,OKX 已连续 11 个月发布储备金证明,22 个公示币种的储备金率均超过 100%,其中 BTC、ETH、USDT 的储备金率分别为 102%、103% 和 102%,三者总计价值达 112 亿美元,是行业为数不多的按月发布储备金证明的主流加密交易平台。相关人士表示,OKX 致力于提升 POR 透明度至传统金融审计标准,将持续引领行业安全透明,现已通过 zk-STARK 等创新技术升级 POR 系统,用户随时可以独立验证 OKX 的偿付能力。截止目前,已有数十万用户参与访问 POR 页面并完成自行验证。

谈 CEX 的安全永远逃不开人性的弱点,但这可不是短期内能够被克服的。对于普通用户而言,更该关注如何在极端事件发生的时候保证资产安全?对于平台来讲,则更需要清楚地意识到帮助用户在危机中「独善其身」才是最核心的竞争力。

Luna 崩盘事件,OKX 风控系统第一时间启动自动赎回机制,帮助参与 UST 理财的用户顺利躲过一劫;3Commas API 数据泄露事件中,OKX 是其合作的众多交易平台中唯一用户 0 损失且安全性能最完备的平台,面对种种考验,OKX 都展现出了过硬的「素质」。

能够多次穿越风浪,核心在于 OKX 团队总是会提前模拟潜在可能发生的风险,并将大量时间和精力投入到风险控制体系的建立与迭代上。风控系统相关负责人表示:「OKX 的 API 系统中具备强大的 Fast API 功能、IP 白名单、反击欺诈风控以及三方白名单功能,这些都是 OKX API 风险控制体系的核心功能,即使黑客入侵 API 密钥,也无法轻易使用密钥,虽然用户平时无法感知到这些措施的存在,但它们总是在关键时刻默默发挥作用。」

确实如此,安全并不需要性感的故事,其本质还在于平台能否坚持时刻具备责任意识,这似乎就需要支点了,该风控负责人坦言,OKX 责任意识的支点在于希望推动「科技向善」在 Web3 生根发芽。

回到安全问题的本质

随着行业发展,安全问题的类型会越来越多,尤其是在当前市场环境下,不少黑客都将矛头指向了加密世界。对于安全守护者来讲,面临的挑战也将越来越多。或许唯有具有这样的信念才能支撑 OKX 不断前行。

通过拆解 OKX 的安全体系,可以明显看出其在 Web3 安全的问题上的做法与心法,他们已经捋清了 Web3 安全世界发展的两大脉络,且已经沿着两大脉络建立了过硬防线,我们有理由相信 OKX 能够在未来承担好 Web3 世界的安全卫士的角色。

虽然安全问题最终总是会回到人心向善还是向恶的问题上,但作为普通用户,我们真的很难做出甄别,只能尽力提高安全防范意识,尽可能选择影响力大的平台,因为影响力越大,越爱惜自身羽毛,自然越能坚持正念。

文章来源于互联网:以OKX安全体系为样本,捋清Web3安全世界的两大脉络

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策井自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表本站的观点或立场

上一篇 2023年10月9日 下午12:41
下一篇 2023年10月9日 下午2:28

相关推荐

  • Polygon产品副总裁:参加ETHCC 2023后的8个感想

    来源: @davidesilverman,Polygon产品副总裁 编译:Misaki 在 EthCC 之后的 8 个快速想法:  1、稳定币又回来了,@Gyroscope Protocol(ECLP 只是个开始)和 @hexonaut 就是很好的例子。 2、 @LucemansNL和 @v3xlabs 通过 ENS x POAP nfc 构建最佳姓名徽章激…

    2023年7月27日
  • 律动早报|比特币短时回升至4万美元上方;OKX将对异常清算造成的损失全额补偿

    精选要闻: 1. OKX:将对异常清算造成的损失全额补偿; 2. 灰度向 Coinbase 转入 15,221 枚 BTC,约合 5.88 亿美元; 3. 比特币短时回升至 40,000 美元上方,以太坊回升至 2200 美元上方; 4. Celsius 解除超 20 万枚 ETH 的质押,约合 4.46 亿美元; 5. Rabby wallet 推出积分系…

    2024年1月24日
  • 基于Hybrid Rollup,Layer N如何为金融场景量身设计Layer2网络?

    撰稿:Joyce,Bitbili 编辑:Jaleel,Bitbili 尽管链上金融生态已经发展出较为丰富的场景,但总体来说,去中心化交易总量仅占所有加密货币交易量的 1%。现有的链上解决方案面临一些限制,在延迟、性能、成本或可组合性方面难以与线下金融交易所相比。 这周三,由 PayPal 的创始人 Peter Thiel 支持的传统风投机构 Founders…

    2023年9月15日
  • Mint Ventures:zkSync头部Dex对决:Syncswap vs iZiswap

    作者:Alex Xu,Mint Ventures 研究合伙人 本期项目速览关注新兴的 L2 生态 zkSync 的头部 Dex 之争,尝试回答以下问题:  – 为什么有必要关注 zkSync 和它的 Dex 赛道?  – 目前 zkSync 的交易赛道项目情况如何?  – 众多竞争项目的成色如何,各有什么优势,谁更有可能胜…

    2023年6月20日
  • 由Binance、Jump Crypto领投的GameFi元宇宙项目Elfin Metaverse宣布进军BTC生态

    来源:Elfin Metaverse 由 Binance(Binance Labs)、Alameda Resarch 和 Jump Crypto 领投的 GameFi 元宇宙项目 Elfin Metaverse(原 Elfin Kingdom Games)于 2024 年 1 月 25 日宣布,该项目目前由香港声扬集团(https://www.noiz-gr…

    2024年1月29日
返回顶部