当前位置:区块链之家 > 币圈资讯 >

探讨OKX安全架构,梳理Web3钱包与中心化交易所(CEX)安全特性

发布:2024-04-11 09:43:01 59


在加密货币的世界里,安全始终是用户最关心的话题之一,OKX作为领先的加密货币交易平台,其安全体系的构建和实施对整个行业来说具有重要的参考意义,本文从OKX的安全体系出发,深入分析了Web3钱包与中心化交易所(CEX)在安全机制上的不同脉络,首先,通过探索OKX采用的安全技术和措施,我们能够理解其如何保护用户的资产和信息安全,接着,文章梳理了Web3钱包和CEX在应对安全威胁时的策略,以及它们在用户隐私保护、资产管理等方面的特点,这不仅为用户提供了安全使用数字资产的策略,也为行业的安全建设提供了宝贵的经验和启示,下面看下详细内容。

OKX安全机制深度剖析

谈安全离不开它的反义词,风险。

近期,MIxin、& CoinEx& 被盗以及 HTX 热钱包被攻击等一系列安全事件的发生,让投资者再次将目光聚集到行业安全问题上。

据派盾统计,截至 9 月 25 日,& Mixin& (损失 2 亿美元)、& Euler& Labs(损失 1.97 亿美元,黑客已退还)、Vyper/& Curve& (损失 7360 万美元,黑客退还 5230 万美元)、CoinEx(损失 7000 万美元)、& Atomic& Wallet(损失 6500 万美元)、Stake(损失 4100 万美元)、& CoinsPaid& (损失 3770 万美元)、& Poly Network& (损失 2600 万美元)、low-carb-crusader(损失 2500 万美元)、针对巨鲸的网络钓鱼(损失 2400 万美元)等金额前十大的黑客攻击事件中产生的总损失不少于 6 亿元。

在加密世界这个黑暗森林中,黑客攻击、钓鱼诈骗等各种风险无时无刻不在发生。

本文将以把安全第一作为产品设计第一原理的& OKX& 为样本,系统化拆解 OKX Web3 钱包与 OKX CEX 的安全体系,从团队所做、所思与所想中挖掘出 Web3 安全世界里的本质问题。

关于钱包安全,识别、标记以及实时拦截风险是关键

据& CertiK& 发布的 2023 年第二季度 Web3.0 行业安全报告统计,CertiK 总共发现 212 起安全事件,黑客等恶意行为者已从 Web3.0 行业中榨取价值 3.1 亿美元代币。可见链上资产安全问题的严峻性。

以人们常用的& Ethereum& 的 EOA 账户为例,一般情况只有在私钥丢失、使用 approve 函数授权恶意合约、使用 permit 功能对植入恶意转币消息进行签名的情况下,资产才有可能被转走。

在私钥丢失问题上,一方面是人为经验不足导致的助记词丢失,这种情况多发生在刚入行的小白身上;另一方面则可能是玩家在领取空投时登陆钓鱼网站主动填写私钥和助记词导致的。这两种情况都很常见,当然,也有下载到恶意钱包或钱包所在电脑/手机被植入木马程序最后被黑客控制的情况发生,只不过现在的手机和电脑,只要去正规网站下载软件并记得及时升级到最新版本,同时有基本的网络安全常识的话则很难中招。

针对人为经验不足导致的私钥丢失问题,OKX Web3 钱包通过推出 MPC 无私钥钱包帮助用户规避风险。

MPC 全名 Multi-Party Computation 多方计算,可简单理解为多签钱包。& OKX Web3 MPC 钱包运用 MPC 技术将私钥打成碎片一分为三,分别由 OKX 交易所、用户设备、云端备份(iCloud/& Google& Drive)保管,用户在创建钱包时,只需要登入 OKX APP 选择以无私钥钱包方式创建地址,并开启云端备份来备份第三份碎片即可,无需手动保管助记词,并且用户在使用时需要 2/3 个碎片才能够完成签名授权,所有交易过程均不会出现私钥明文。在一定程度上解决了私钥外泄导致的资产安全问题。此外,OKX 还为 MPC 钱包设置了紧急逃生功能,用户在遇到特殊状况时,只需要在紧急出口输入云端备份密码,即可快速地获得私钥并移转资产,安全且便捷。

人为经验不足导致的助记词相关安全问题一般多发于入门群体,对于有交互经验的用户来讲,风险多发于& approve 授权和 permit 签名这两个环节,比如上述提及的钓鱼风险等。

approve 函数是链上交互中的重要一环,允许合约调用 transferForm 函数,按合约代码里约定好的规则来转移地址中的资产。一旦 approve 授权到恶意合约,将面临较大资产被盗风险。

签名风险则主要源于 erc& 20 协议的 permit 扩展功能,该功能允许用户通过签名消息来完成授权操作,并将签名结果发送给另外一个钱包以完成资产转移操作。常见于用户使用 DEX 挂单功能时,以& 1inch& 的 Fusion 功能为例,该功能让用户对挂单的消息进行签名,签名后用户可以在不支付 gas 的情况下将资产委托给 1inch 处理,然后 1inch 会提供用户想购买的币。在此过程中,如某网站伪造恶意消息让用户签名,后果大概率会令人惋惜。

因此,风险监测显得尤为重要。

OKX Web3 团队开发了整理授权管理页面,用户可以直接在该页面查看自己在协议和币种上的授权情况,同时可在该页面直接取消授权,以规避不必要的风险。对于那些恶意风险合约,OKX Web3 钱包通过接入 KYT 天眼系统来帮助用户进行风险检测,目前该系统收录 3 亿多条加密货币地址,能够在用户涉及到恶意地址、可疑交易(貔貅盘/钓鱼等)时进行有效的风险检测与自动预警。

OKX Web3 团队安全架构负责人 Neil 表示,OKX 接下来将对地址标签进行分层处理,白名单地址通过普通提示进行处理,灰名单地址通过普通风险提示进行处理,黑名单地址将直接进行拦截,未来团队将在风险预防、风险清理、风险兜底以及用户教育等各方面持续建设,以加强安全防护体系,坚定不移地做好用户的安全卫士。

其实,除了交互环境隐藏的风险外,钱包本身的安全也尤为重要。目前,OKX Web3 钱包已完成多链签名 SDK 全面开源,MPC 无私钥钱包核心算法开源,AA 钱包开源以及 BRC& 20-S 开源。代码开源的意义在于实现产品的透明、可靠,并在接受同行“评判”同时推动开发者之间的交流与开放式协作,进而推动 Web3 技术的发展进步。

当然,除了链上各种风险外,诸如& FTX& 等中心化平台坍塌而引发的系统性风险则更令人担忧。&

关于 CEX 安全,重点是自监管与搭建过硬风控体系

从 Fcoin 跑路到 FTX 暴雷,过去几年,不少 CEX 平台都没有逃过陨落的魔咒。究其原因,多为快速增长与企业责任意识错配背景下的内部管理不善导致的,当然,更根本的原因还是在于人性。

因此自约束、自监管成为 CEX 必做之事。

自去年年底以来,行业头部企业纷纷启动自监管模式,通过 POR 等机制来提升资金透明度,将用户资金情况上链进行公开披露。

据官方信息显示,OKX 已连续 11 个月发布储备金证明,& 22 个公示币种的储备金率均超过 100%& ,其中 BTC、ETH、USDT 的储备金率分别为 102%& 、& 103% 和 102%& ,三者总计价值达 112 亿美元,是行业为数不多的按月发布储备金证明的主流加密交易所。相关人士表示,OKX 致力于提升 POR 透明度至传统金融审计标准,将持续引领行业安全透明,现已通过 zk-STARK 等创新技术升级 POR 系统,用户随时可以独立验证 OKX 的偿付能力。截止目前,已有数十万用户参与访问 POR 页面并完成自行验证。

谈 CEX 的安全永远逃不开人性的弱点,但这可不是短期内能够被克服的。对于普通用户而言,更该关注如何在极端事件发生的时候保证资产安全?对于平台来讲,则更需要清楚地意识到帮助用户在危机中“独善其身”才是最核心的竞争力。

Luna 崩盘事件,OKX 风控系统第一时间启动自动赎回机制,帮助参与 UST 理财的用户顺利躲过一劫;3& Commas API 数据泄露事件中,OKX 是其合作的众多交易所中唯一用户 0 损失且安全性能最完备的平台,面对种种考验,OKX 都展现出了过硬的“素质”。

能够多次穿越风浪,核心在于 OKX 团队总是会提前模拟潜在可能发生的风险,并将大量时间和精力投入到风险控制体系的建立与迭代上。风控系统相关负责人表示:“OKX 的 API 系统中具备强大的 Fast API 功能、IP 白名单、反击欺诈风控以及三方白名单功能,这些都是 OKX API 风险控制体系的核心功能,即使黑客入侵 API 密钥,也无法轻易使用密钥,虽然用户平时无法感知到这些措施的存在,但它们总是在关键时刻默默发挥作用。”

确实如此,安全并不需要性感的故事,其本质还在于平台能否坚持时刻具备责任意识,这似乎就需要支点了,该风控负责人坦言,OKX 责任意识的支点在于希望推动“科技向善”在 Web3 生根发芽。

回到安全问题的本质

随着行业发展,安全问题的类型会越来越多,尤其是在当前市场环境下,不少黑客都将矛头指向了加密世界。对于安全守护者来讲,面临的挑战也将越来越多。或许唯有具有这样的信念才能支撑 OKX 不断前行。

通过拆解 OKX 的安全体系,可以明显看出其在 Web3 安全的问题上的做法与心法,他们已经捋清了 Web3 安全世界发展的两大脉络,且已经沿着两大脉络建立了过硬防线。

虽然安全问题最终总是会回到人心向善还是向恶的问题上,但作为普通用户,我们很难做出甄别,只能尽力提高安全防范意识,尽可能选择影响力大的平台,因为影响力越大,越爱惜自身羽毛,越能坚持正念。

相关文章

  • 挖掘比特币钻石:详解BCD挖矿步骤!

    挖掘比特币钻石:详解BCD挖矿步骤!

    区块链技术发布:2023-11-01

    这篇文章主要介绍了比特币钻石怎么挖?比特币钻石(BCD)挖矿教程步骤详解的相关资料,需要的朋友可以参考下本文详细内容介绍


  • 十大主流数字货币是哪些

    十大主流数字货币是哪些

    数字货币发布:2023-02-25

    这篇文章主要介绍了2023年主流数字货币有哪些?十大主流数字货币排名的相关资料,需要的朋友可以参考下本文详细内容介绍


  • CVNT币官方网站价钱以及上线时刻简述

    CVNT币官方网站价钱以及上线时刻简述

    币种百科发布:2023-07-17

    CVNT是一种什么样的币种呢?CVNT币的官网价格如何呢?CVNT币何时上线交易呢?请继续阅读,了解更多关于CVNT币种的信息。


  • 比特币的底部是何意?如何判断比特币抄底时机?

    比特币的底部是何意?如何判断比特币抄底时机?

    比特币发布:2023-12-22

    比特币作为全球最知名的加密货币之一,经历了数次大幅上涨和下跌的周期,吸引了许多投资者的关注,在比特币价格下跌的时候,是不是可以抄底呢?比特币抄底什么意思?比特币抄底时机怎么看?本文将为大家详细介绍


  • 如何通过冷钱包进行接收和发送比特币?

    如何通过冷钱包进行接收和发送比特币?

    数字货币发布:2023-11-01

    冷钱包(Cold Wallet)是一种加密货币存储方式,通常又称作硬件钱包,是一种专门用于保管加密货币的硬件设备,一般安全性会更高,那么如何利用冷钱包进行接收和发送比特币呢,下面小编就来为大家详细讲讲


  • LSK币表现如何?最新行情有何动态

    LSK币表现如何?最新行情有何动态

    币种百科发布:2023-12-16

    LSK币,其中文名为应用链,是一个区块链应用平台,其目标是打造一个基于侧链技术的应用生态,有一点像应用商店,那么LSK币怎么样呢?下面就让小编为大家带来应用链LSK币前景和价值分析,


  • KRB是什么币?KRB币价格今日行情

    KRB是什么币?KRB币价格今日行情

    币种百科发布:2023-11-27

    KRB币的英文全称是Karbo,其实这个Karbo就是一个去中心化的点对点交换网络,KRB就是该项目中的原生代币,很多投资者对这一项目很感兴趣,所以他们想要深入了解这个KRB是什么币?下面就让小编为大家介绍一下这个KRB币的官网、总量和发行价,


  • 币圈审计揭秘:来揭开币圈审计的神秘面纱!

    币圈审计揭秘:来揭开币圈审计的神秘面纱!

    区块链技术发布:2023-12-24

    在加密数字货币领域,币圈中的智能合约审核是一种对智能合约进行全面审核与评价的方法,那么,币圈审计是什么?下面将为大家通俗解释币圈审计


  • FPUP币是什么币?

    FPUP币是什么币?

    币种百科发布:2023-08-13

    FPUP币是一种全新的加密货币,它采用了最先进的区块链技术,为用户提供了更加安全和便捷的交易体验。本文将详细介绍FPUP币的背景、特点和应用场景,帮助读者更好地了解这一创新型数字资产。


  • TOP Network介绍及发展情况分析

    区块链技术发布:2023-09-15

    TOP网络(TOP Network)是一个基于区块链技术的全球开放通信和价值交换网络。作为全球首个面向实际商业应用的区块链底层网络,TOP Network旨在打造一个去中心化的全球通信网络,为用户提供去中心化的通信服务和便捷的跨境价值交换。TOP币(TOP)是TOP Network的原生代币,它在TOP Network的生态系统中具有多种用途,包括支付、激励和治理等方面。在这篇文章中,我将介绍TOP币的用途及其在TOP Network中的重要性,以及TOP Network的创新和发展前景。通过阅读本文,您将更好地了解TOP Network和TOP币,并深入了解它们在区块链行业中的潜力和应用场景。


网友讨论

  • 扩展迷