Equipo de seguridad de OKX Web3: Protegiendo tu clave privada como si fueran tus ojos

Fuente: OKX

Not Your Keys, Not Your Coins: libertad descentralizada al coste de una "seguridad de la clave privada" absoluta.

Un informe de Chainalysis de julio de 2025 muestra que entre el 17% y el 23% de Bitcoin permanece inactivo permanentemente debido a la pérdida de la clave privada o daños en el dispositivo. Dado que la clave privada representa la propiedad de los activos, una vez perdida, no se puede restablecer y no hay servicio al cliente que ayude a recuperarla. Si la clave se ve comprometida y los fondos son robados, la recuperación es casi imposible. El mundo en línea nos ha otorgado libertad, pero también ha puesto toda la responsabilidad de nuevo en nuestras manos. A medida que el ecosistema en línea prospera, han ocurrido incidentes de robo de activos con frecuencia. Sin embargo, las personas a menudo se dan cuenta demasiado tarde y luchan por identificar dónde ocurrió el problema: ¿Se filtró la clave privada? ¿Hicieron clic en un enlace de phishing? ¿Descargaron malware? ¿O fue otro error operativo?

El equipo de seguridad de OKX Web3 tiene como objetivo mejorar la conciencia de todos sobre la seguridad de la clave privada a través de este contenido educativo y resaltar una vez más esos puntos ciegos de seguridad que a menudo se pasan por alto.

1. ¿Por qué podría filtrarse una clave privada o frase semilla?

En primer lugar, corrijamos un concepto erróneo común. Muchos usuarios creen que una filtración de la clave privada o frase semilla (denominada "filtración de clave privada" en adelante) generalmente ocurre durante el uso de la wallet. En realidad, si descargas y usas una wallet a través de canales oficiales y utilizas una wallet de una marca de buena reputación, la clave privada generalmente no se filtra durante el uso normal. Las filtraciones de claves privadas ocurren principalmente debido al almacenamiento inadecuado y la adquisición por parte de actores maliciosos. Una vez que alguien posee tu clave privada, puede importarla a cualquier wallet y controlar los activos de la cuenta.

De hecho, hay muchas razones para las filtraciones de claves privadas, y la fuente exacta a menudo es difícil de identificar por completo. Sin embargo, al analizar numerosos casos de la industria y ayudar en las investigaciones, hemos compilado algunos escenarios y pistas típicos (como se describe a continuación).

Imagen: Desafíos de análisis en el robo de claves privadas compartido por Xuandong de SlowMist

2. Escenarios comunes de filtración de claves privadas y métodos de mitigación

(1) El escenario más fácilmente ignorado: Filtración durante la creación de la wallet

Caso de estudio 1: Asistencia en la creación de la wallet por parte de otros. El Sr. Li acababa de comenzar a explorar Web3 y, con la ayuda de un "mentor entusiasta", creó una wallet. El mentor lo ayudó con la creación de la wallet, la configuración de la contraseña de transacción y lo guio a través de depósitos y transacciones. Aunque se configuró una contraseña de transacción para la wallet, durante el proceso de creación, el mentor ya había obtenido su clave privada. Unos días después, los 5 ETH que el Sr. Li había depositado fueron transferidos rápidamente. Solo entonces se dio cuenta de que la contraseña de transacción era meramente para validación local, y cualquiera con la clave privada podía importarla a cualquier wallet y transferir directamente sus activos.

Recomendación de seguridad: Las wallets deben crearse de forma independiente sin dejar que nadie "ayude" o "actúe en nombre de". Si existe sospecha de que la clave privada puede haber sido comprometida, los activos deben transferirse rápidamente a una nueva wallet.

Caso de estudio 2: Creación de la wallet mediante pantalla compartida en videoconferencia. La Sra. Zhang, bajo la guía remota de un "profesor", creó una wallet mediante pantalla compartida en una videoconferencia. El profesor demostró paso a paso: descargar la wallet, generar la frase semilla, recargar Gas y comprar tokens. Todo el proceso parecía muy "íntimo", y al final, incluso se le recordó: "Nunca le reveles tu clave privada a nadie". Sin embargo, sin que ella lo supiera, en el momento de compartir la pantalla, la frase semilla podría haber sido grabada. Dos semanas después, aproximadamente 12.000 USDT en su cuenta fueron transferidos.

Recomendación de seguridad: Al crear una wallet, deshabilita la pantalla compartida, la grabación de pantalla o las funciones de uso compartido de pantalla. Si existe sospecha de que la clave privada puede haber sido comprometida, los activos deben transferirse rápidamente a una nueva wallet. Además, en la página de OKX Wallet que muestra la clave privada y la frase semilla, no se permiten capturas de pantalla, grabaciones o pantalla compartida, lo que mejora efectivamente la seguridad.

Imagen: Cuando se detecta pantalla compartida, OKX Wallet oculta automáticamente la frase semilla y la clave privada, evitando que otros vean el texto

(II) El escenario más común: Almacenamiento inadecuado de la clave privada que conduce a la filtración

Caso de estudio 3: APP falsa, la pesadilla de un usuario de Android. El Sr. Wang, un usuario cauteloso, tomó una captura de pantalla de la frase semilla después de crear una wallet y la almacenó en su galería de fotos local, sin subirla nunca a la nube, pensando que esto era más seguro. Sin embargo, descargó una supuesta "versión mejorada de Telegram" de un foro, una APP cuyo icono e interfaz eran casi idénticos a la versión oficial. En realidad, escaneaba continuamente la galería del teléfono en segundo plano, utilizaba tecnología de Reconocimiento Óptico de Caracteres (OCR) para identificar la frase semilla y la subía automáticamente al servidor de un hacker. Tres meses después, todos los activos en la cuenta del Sr. Wang fueron vaciados, lo que resultó en una pérdida superior a 50.000 $. El análisis técnico reveló que su teléfono también tenía aplicaciones maliciosas como imToken, MetaMask, Google Authenticator y otras falsas.

Caso cuatro: Aplicación maliciosa BOM que conduce a la filtración de la frase semilla. El 14 de febrero de 2025, varios usuarios experimentaron incidentes concentrados de robo de activos de la wallet. A través del análisis de datos on-chain, todos estos casos de robo exhibieron características típicas de filtración de frase semilla/clave privada. Una revisión adicional de los usuarios afectados reveló que la mayoría de ellos habían instalado y utilizado previamente una aplicación llamada BOM. Una investigación profunda mostró que esta aplicación era en realidad un software fraudulento cuidadosamente disfrazado. Los actores maliciosos, a través de la manipulación de la autorización del usuario, obtuvieron ilegalmente permisos de frase semilla/clave privada, permitiendo la transferencia sistemática de activos e intentando ocultar sus acciones.

Consejo de seguridad: Muchos usuarios, por "conveniencia", desarrollan hábitos que son irónicamente los más peligrosos. Por lo tanto, se recomienda a todos: 1) ¡No tomes una captura de pantalla de la frase semilla! Se sugiere copiarla manualmente en papel y almacenarla en un lugar seguro. 2) Al descargar una aplicación, asegúrate de usar solo los canales oficiales, y no pruebes fácilmente versiones "mejoradas" desconocidas o modificaciones de terceros. 3) Si se detectan anomalías en el dispositivo o si la clave privada ha sido capturada antes, no confíes en la suerte e inmediatamente transfiere los activos a una nueva wallet. 4) ¿Qué ha hecho OKX? Para evitar que los usuarios tomen capturas de pantalla en las páginas de respaldo de la clave privada y la frase semilla, hemos deshabilitado la función de captura de pantalla en estas páginas sensibles.

Imagen: OKX Wallet prohíbe capturas de pantalla en las páginas de clave privada y frase semilla

Al mismo tiempo, para reducir el riesgo de que los usuarios instalen aplicaciones falsas, el lado de Android también proporciona una función de escaneo de aplicaciones maliciosas.

Imagen: OKX Wallet en Android proporciona una función de escaneo de aplicaciones maliciosas

(III) El escenario más común y fácilmente engañado: Phishing de claves privadas

Caso cinco: Phishing de airdrop falso. Un conocido proyecto NFT anunció en Twitter que harían un airdrop de un nuevo token a los poseedores. A solo 10 minutos del anuncio, aparecieron múltiples sitios web de phishing en la parte superior de los resultados de búsqueda de Google (promocionados a través de anuncios pagados). Estos sitios web de phishing tenían nombres de dominio con solo una letra de diferencia (por ejemplo, opensae.io en lugar de opensea.io), con diseños de página casi idénticos al sitio web oficial. Cuando los usuarios conectaban sus wallets, la página mostraba un mensaje: "Congestión de red, conexión fallida, por favor ingresa manualmente tu frase semilla para reclamar el airdrop". Ese día, más de 50 usuarios cayeron en la estafa, lo que resultó en una pérdida total de más de 200.000 $. A la víctima más rápida le transfirieron sus activos 3,7 segundos después de ingresar su frase semilla.

Caso seis: Ataque de ingeniería social. La Sra. Zhao encontró un problema operativo en el grupo de Discord de un proyecto. Un administrador con un avatar y apodo que parecía muy "oficial" le envió un mensaje privado de forma proactiva, alegando ser el servicio al cliente que quería ayudarla a resolver el problema. Le enviaron un enlace a una "página de verificación". Confiando en el administrador, la Sra. Zhao hizo clic en el enlace e ingresó su frase semilla como se le indicó. La página se veía exactamente como el sitio web oficial. Unos minutos después, múltiples activos fueron transferidos continuamente fuera de su wallet. Solo entonces se dio cuenta de que el supuesto administrador era en realidad un estafador, y cualquier "servicio al cliente" que pida a los usuarios ingresar su frase semilla o clave privada en un sitio web es indudablemente una estafa. Vale la pena señalar que, además de hacerse pasar por administradores oficiales, los estafadores también pueden hacerse pasar por amigos, miembros del equipo del proyecto u otras identidades confiables.

Consejo de seguridad: Una DApp legítima nunca te pedirá tu clave privada, y una persona confiable nunca te solicitará tu clave privada. Recuerda: tu clave privada es la llave de tus activos, así que asegúrate de almacenarla de forma segura y nunca la reveles fácilmente.

III. ¿Por qué los proveedores de wallets pueden hacer poco una vez que una clave privada está comprometida?

Algunos usuarios, al descubrir una supuesta filtración de clave privada y el movimiento de activos, contactarán inmediatamente al equipo de la wallet, esperando que podamos brindar más asistencia. Sin embargo, en realidad, una vez que la clave privada ha sido expuesta, el espacio en el que los proveedores de wallets pueden intervenir es muy limitado.

Aquí, expliquemos brevemente el proceso básico que seguimos cuando recibimos informes de "robo de activos", y también expliquemos por qué muchas veces no podemos "recuperar" directamente los activos on-chain:

En primer lugar, ayudaremos al usuario a rastrear el flujo de fondos, analizando si los fondos on-chain pueden estar relacionados con grupos de hackers conocidos o clústeres de direcciones. Al mismo tiempo, aconsejaremos al usuario que transfiera rápidamente cualquier activo que no haya sido robado para reducir el riesgo de mayores pérdidas. En casos de robo significativo, recomendaremos que los usuarios contacten rápidamente a las autoridades locales para obtener asistencia a través de canales legales. Nuestro equipo interno también realizará un análisis exhaustivo del incidente, resumirá el modus operandi del hacker y proporcionará información para la protección futura del usuario.

Como proveedor de herramientas, las wallets en sí mismas no pueden congelar ni revertir activos on-chain. Una vez que un hacker obtiene la clave privada, generalmente utiliza scripts automatizados para completar la transferencia de fondos en segundos, con una velocidad muy rápida en la que es difícil intervenir. Solo cuando los fondos robados finalmente fluyen hacia una plataforma de exchange de criptomonedas centralizada es posible solicitar la congelación temporal a través de canales legales.

Cuando la trayectoria de los fondos está vinculada a clústeres de hackers conocidos de los que estamos al tanto, comenzaremos desde su modus operandi común para ayudar a los usuarios a recordar si participaron recientemente en alguna operación de alto riesgo, determinando así en qué punto la clave privada pudo haber sido expuesta.

OKX siempre ha priorizado la seguridad de los fondos de los usuarios, invirtiendo fuertemente a lo largo de los años para construir un sistema de control de riesgos y diseñar mecanismos de autenticación multifactor. Aunque estos procesos pueden parecer engorrosos, todos tienen como objetivo proteger mejor la seguridad de los activos del usuario. Se puede decir que también somos uno de los equipos de la industria que más ha invertido en seguridad.

Imagen: El puntaje de seguridad de OKX Wallet ocupa el primer lugar

Como se mencionó anteriormente, si los usuarios carecen de conciencia de seguridad o utilizan prácticas incorrectas, aún pueden sufrir pérdidas debido a razones como phishing o filtración de clave privada, independientemente de la wallet que utilicen. Por lo tanto, proteger adecuadamente la clave privada siempre sigue siendo la base de seguridad más crítica. Además de mejorar continuamente las capacidades de seguridad del propio producto, también fortalecemos continuamente el análisis de casos y compartimos consejos de seguridad para ayudar a los usuarios a identificar mejor los posibles escenarios de riesgo.

4. En resumen, consejos de seguridad para la clave privada

Descargo de responsabilidad:

Este artículo es solo para referencia. Este artículo no pretende proporcionar (i) asesoramiento de inversión o recomendaciones de inversión, (ii) una oferta, solicitud o incentivo para comprar, vender o mantener activos digitales, o (iii) asesoramiento financiero, contable, legal o fiscal. Los activos digitales (incluyendo stablecoin y NFT) están sujetos a fluctuaciones del mercado, implican un alto riesgo y pueden depreciarse. Para preguntas sobre si el trading o la tenencia de activos digitales es adecuado para ti, consulta a tu profesional legal/fiscal/de inversión. La OKX Web3 Wallet es solo un tipo de servicio de software de wallet de autocustodia que te permite descubrir e interactuar con plataformas de terceros, y la OKX Web3 Wallet no puede controlar los servicios de dichas plataformas de terceros y no será responsable de ellos. No todos los productos están disponibles en todas las regiones. Eres responsable de comprender y cumplir con las leyes y regulaciones locales relevantes. La OKX Web3 Wallet y sus servicios relacionados no son proporcionados por el exchange de criptomonedas OKX y se rigen por los Términos de Servicio del Ecosistema OKX Web3.

Este artículo es contenido contribuido y no representa las opiniones de BlockBeats.