Rechazando el "teatro de seguridad": la seguridad de las crypto wallet entra en la era de la verificabilidad

Fuente: OKX

Para 2025, Web3 entrará en una nueva etapa de "uso a mayor escala y mayor frecuencia", y las crypto wallet acelerarán su evolución de una "herramienta de almacenamiento de monedas" a un sistema operativo de entrada a la blockchain y de transacciones. La firma de investigación de mercado Fortune Business Insights estima que el mercado de crypto wallet alcanzará alrededor de 12.2 mil millones de dólares en 2025 y podría crecer a 98.57 mil millones de dólares para 2034.

La expansión del lado del usuario también es evidente: a16z crypto estimó en el "State of Crypto 2025" que hay aproximadamente 40-70 millones de usuarios activos de criptomonedas, con alrededor de 716 millones de poseedores de criptomonedas que "poseen activos pero no necesariamente están activos en la cadena"; el informe de Crypto.com Research también establece que los poseedores globales de criptomonedas aumentaron de 681 millones en la primera mitad de 2025 a 708 millones.

La otra cara de la creciente escala y tasa de penetración es la amplificación simultánea de los riesgos de seguridad. Ya no se trata solo de "si el smart contract tiene vulnerabilidades", sino de interceptar riesgos en los puntos críticos del usuario, como hacer clic en enlaces, conectar crypto wallet, firmar autorizaciones y procesar transacciones.

En el mundo on-chain, la "superficie de ataque" a menudo se extiende más allá de las vulnerabilidades de los smart contract y está más comúnmente relacionada con el phishing de baja barrera, dominios falsos, suplantación de servicio al cliente y fraude de autorización como "riesgos previos a la transacción". Por ejemplo, Chainalysis define a los "crypto drainers (herramientas de vaciado de crypto wallet/phishing de autorización)" como herramientas que no roban contraseñas de cuentas, sino que engañan a los usuarios para que conecten sus crypto wallet y aprueben autorizaciones de transacciones maliciosas, permitiendo que los activos sean drenados directamente. Los datos públicos también muestran que en 2024, las pérdidas relacionadas con "wallet drainers" estuvieron cerca de la marca de los 500 millones de dólares.

Por lo tanto, mejorar la seguridad de las Web3 crypto wallet ya no se centrará únicamente en si los smart contract tienen vulnerabilidades, sino que deberá prestar más atención a cómo interceptar proactivamente los riesgos en puntos clave de comportamiento del usuario, conocidos como "seguridad previa a la transacción".

En tal contexto de la industria, la "seguridad" es cada vez más difícil de abordar con un simple eslogan, sino que se asemeja a una capacidad de gobernanza que necesita validación continua: si puede ser verificada, si puede ser rastreada y si es posible una divulgación oportuna, se están convirtiendo en criterios importantes para los usuarios al elegir una crypto wallet.

De "afirmaciones de seguridad" a una "lista de capacidades de seguridad comprensible"

Durante mucho tiempo, cuando los proyectos de crypto wallet discutían la seguridad, la retórica común incluía "hemos pasado auditorías", "tenemos un whitepaper" y "nos centramos mucho en la gestión de riesgos". Sin embargo, con la industrialización de las estafas y el phishing, esta "afirmación de seguridad" está perdiendo su capacidad de persuasión. El momento en que los usuarios realmente encuentran problemas a menudo ocurre en interacciones muy breves, como hacer clic en enlaces, conectar crypto wallet y firmar autorizaciones. Los "crypto drainers" descritos por Chainalysis son un camino típico: los atacantes se disfrazan de una página legítima, guían a los usuarios para completar la autorización y luego transfieren los activos; su investigación incluso menciona casos de falsificación de páginas de Magic Eden y la realización de transacciones maliciosas dirigidas a usuarios de Ordinals.

Los datos públicos también están impulsando la narrativa de la industria hacia la "comprensibilidad". Security Week, citando las estadísticas de Scam Sniffer, informó que en 2024, casi 500 millones de dólares en pérdidas fueron causados por vaciadores de crypto wallet, con más de 332,000 víctimas. Estos tipos de eventos no requieren que los atacantes violen sistemas complejos, sino que dependen más de que los usuarios no entiendan los riesgos durante las interacciones. Por otro lado, Chainalysis, en su divulgación de 2025, estimó que en 2024, los ingresos por estafas on-chain fueron de al menos 9.9 mil millones de dólares y podrían aumentar a medida que se identifiquen más direcciones. Cuando el riesgo principal proviene de la "brecha de legibilidad del lado del usuario", los fabricantes de crypto wallet deben cambiar la seguridad de la ingeniería de backend a la expresión de cara al usuario.

Como resultado, más y más crypto wallet en la industria están comenzando a "productizar" sus capacidades de seguridad: ya no solo te dicen "somos seguros", sino que desglosan las acciones de protección en una lista que los usuarios pueden entender, como qué tokens serán marcados como de alto riesgo, qué transacciones activarán alertas, qué direcciones o DApps serán bloqueadas y por qué ocurre el bloqueo. La esencia de este cambio es transformar la seguridad de una "narrativa de calificación" a una "narrativa de interacción": permitir que los usuarios reciban información procesable antes de firmar, en lugar de tener que mirar un PDF de auditoría después.

Siguiendo esta tendencia, la página del Centro de Seguridad recién lanzada y actualizada de la OKX crypto wallet proporciona un ejemplo más típico de "expresión en formato de lista". La página describe explícitamente tres "defensas de primera línea" dirigidas a los usuarios: detección de riesgos de tokens, monitoreo de transacciones y detección de direcciones, y explica sus funciones en una sola oración cada una, como "Marcar tokens de alto riesgo para reducir la exposición a honeypots y malos actores", "Monitoreo en tiempo real cross-chain para identificar actividades sospechosas on-chain" y "Interceptar interacciones con DApps y direcciones maliciosas". El beneficio de este enfoque es que incluso si los usuarios no entienden la terminología de seguridad, pueden relacionarse rápidamente con la acción que están realizando actualmente, ya sea hacer clic, firmar o transferir.

Haz clic para visitar: Informe de auditoría de la página de inicio de seguridad de OKX Crypto Wallet

Más importante aún, "comprensibilidad" no significa "hablar solo". En la misma página, la OKX crypto wallet también proporciona un enlace de "Ver informes de auditoría", conectando la "lista de capacidades" con la "verificación de terceros". Además, la página de colección de informes de auditoría en su centro de ayuda detalla aún más el alcance de la auditoría, la cantidad de problemas encontrados y el estado de reparación, permitiendo a los usuarios pasar de "entender las capacidades" a "verificar la evidencia" cuando sea necesario.

Este tipo de transición de "afirmación de seguridad" a "lista de verificación comprensible" no se trata de hacer que la seguridad suene más grandiosa, sino de hacer que la seguridad sea más procesable: a medida que el fraude depende cada vez más del engaño y el disfraz, si una crypto wallet puede colocar alertas de riesgo en los puntos de interacción, explicar en un lenguaje fácil de usar "dónde radica el peligro, por qué es peligroso y qué debes hacer", se está convirtiendo en parte de la capacidad de seguridad y determina cada vez más si los usuarios tropezarán en un paso crucial.

Información de auditoría "públicamente verificable": transformando el respaldo de terceros de "enlazado" a "cadena de evidencia verificable"

En la industria de las crypto wallet, las auditorías han enfrentado durante mucho tiempo un problema práctico: muchos proyectos de hecho han "pasado auditorías", pero la información está dispersa en anuncios, PDFs y reposts en redes sociales, lo que dificulta que los usuarios comunes entiendan rápidamente "quién lo auditó, qué se auditó, si se corrigió algún problema y cuándo se actualizó por última vez". Esta vez, la acción más destacada de la OKX crypto wallet es consolidar los informes de auditoría de terceros disponibles públicamente en un portal unificado e indicar directamente en la página "publicado el 11 de noviembre de 2022, actualizado el 17 de noviembre de 2025", permitiendo a los usuarios determinar rápidamente de un vistazo que esto no es solo una exhibición única, sino una ventana de divulgación de información continua que se mantiene activamente.

A partir de las entradas mostradas públicamente en esta página de colección, el alcance de la divulgación no solo se ha centrado en el objetivo de auditoría tradicional de "smart contracts". Tomando la entrada de CertiK con fecha del 23 de mayo de 2024 como ejemplo, el contenido de la auditoría cubre claramente las rutas de código clave en el lado móvil y frontend: incluyendo componentes de iOS/Android, componentes de interfaz de usuario ReactJS de frontend, controladores JS que interactúan con el keyring y múltiples módulos SDK de crypto wallet, al tiempo que proporciona la metodología de auditoría y los criterios de conclusión.

En la misma página, la entrada de SlowMist está más cerca del "nuevo paradigma" de la evolución de las crypto wallet en los últimos dos años: objetos auditables como cuentas de smart contract AA, crypto wallet sin clave MPC, módulos de transacciones Ordinals están todos listados; además, la información de auditoría sobre el "módulo de seguridad de private key" se presenta por separado, indicando directamente "las private key o frases mnemotécnicas solo se almacenan en el dispositivo del usuario y no se transmiten a servidores externos", respondiendo a las preocupaciones principales del usuario sobre la seguridad de las claves con descripciones de límites más claras.

El valor de esta "visualización centralizada" no solo radica en tener información más completa, sino, más crucialmente, en vincular "nuevas capacidades" con "verificabilidad" en el mismo punto de entrada: a medida que la industria de las crypto wallet avanza cada vez más hacia arquitecturas complejas como AA y MPC, lo que los usuarios más necesitan no es solo una declaración que diga "somos muy seguros", sino evidencia que pueda verificarse rápidamente: si el alcance de la auditoría cubre módulos críticos, cuál es la metodología, si se han mitigado los riesgos y si la información se actualiza constantemente.

Además, según OKX Crypto Wallet, después de esta actualización, los nuevos informes de auditoría e información relacionada se pueden actualizar directamente a través de la configuración sin necesidad de una nueva versión. Si este mecanismo puede operar de manera estable a largo plazo, acorta efectivamente el camino "externamente verificable", ahorrando no solo costos de desarrollo y lanzamiento.

Para los usuarios, esto significa que cuando se agrega o completa una auditoría, la entrada pública puede reflejar más rápidamente el "estado más reciente", reduciendo la incertidumbre de "tener que depender de reenviar capturas de pantalla/enlaces antiguos" durante ventanas de riesgo clave. Para observadores e investigadores externos, es más fácil formar una línea de tiempo rastreable: qué módulos completaron la auditoría cuándo, qué nivel de problemas se descubrieron, cuándo se confirmaron las correcciones y se actualizaron públicamente. Esto convierte el "respaldo de terceros" en una cadena de evidencia continuamente auditable, en lugar de una exhibición única de un PDF.

Este artículo es un envío contribuido y no representa los puntos de vista de BlockBeats.