Команда безопасности OKX Web3: Защищайте свой приватный ключ как зеницу ока

Источник: OKX

Not Your Keys, Not Your Coins — децентрализованная свобода ценой абсолютной "безопасности приватного ключа".

Отчет Chainalysis от июля 2025 года показывает, что 17%-23% Биткоин навсегда остаются неактивными из-за потери приватного ключа или повреждения устройства. Поскольку приватный ключ олицетворяет владение активами, после его потери его невозможно сбросить, и нет службы поддержки, которая помогла бы его восстановить. Если ключ скомпрометирован и средства украдены, восстановление практически невозможно. Онлайн-мир дал нам свободу, но также возложил полную ответственность на наши плечи. По мере процветания онлайн-экосистемы инциденты с кражей активов происходят часто. Однако люди часто осознают это слишком поздно и с трудом могут определить, где возникла проблема — был ли скомпрометирован приватный ключ? Перешли ли они по фишинговой ссылке? Скачали вредоносное ПО? Или это была другая операционная ошибка?

Команда безопасности OKX Web3 стремится повысить осведомленность каждого о безопасности приватного ключа с помощью этого образовательного контента и еще раз подчеркнуть те "слепые зоны" безопасности, которые часто упускаются из виду.

1. Почему может произойти утечка приватного ключа или мнемонической фразы?

Прежде всего, давайте исправим распространенное заблуждение. Многие пользователи считают, что утечка приватного ключа или мнемонической фразы (далее именуемая "утечка приватного ключа") обычно происходит во время использования кошелек. На самом деле, если вы скачиваете и используете кошелек через официальные каналы и пользуетесь кошелек от авторитетного бренда, приватный ключ, как правило, не утекает при нормальном использовании. Утечки приватного ключа в основном происходят из-за неправильного хранения и получения доступа злоумышленниками. Как только кто-то завладеет вашим приватным ключом, он может импортировать его в любой кошелек и контролировать активы учетной записи.

На самом деле существует много причин для утечек приватного ключа, и точный источник часто трудно определить полностью. Однако, проанализировав многочисленные отраслевые случаи и помогая в расследованиях, мы собрали некоторые типичные сценарии и подсказки (как описано ниже).

Изображение: Проблемы анализа кражи приватных ключей, которыми поделился Сюаньдун из SlowMist

2. Распространенные сценарии утечки приватного ключа и методы смягчения последствий

(1) Самый легко упускаемый из виду сценарий: утечка во время создания кошелек

Кейс 1: Помощь в создании кошелек со стороны других лиц. Г-н Ли только начал изучать Web3 и с помощью "энтузиаста-наставника" создал кошелек. Наставник помог ему с созданием кошелек, установкой пароля транзакции и провел его через депозиты и транзакции. Хотя для кошелек был установлен пароль транзакции, в процессе создания наставник уже получил его приватный ключ. Через несколько дней 5 ETH, которые внес г-н Ли, были быстро выведены. Только тогда он понял, что пароль транзакции предназначен исключительно для локальной проверки, и любой, у кого есть приватный ключ, может импортировать его в любой кошелек и напрямую перевести его активы.

Рекомендация по безопасности: Кошелек следует создавать самостоятельно, не позволяя никому "помогать" или "действовать от вашего имени". Если есть подозрение, что приватный ключ мог быть скомпрометирован, активы следует немедленно перевести на новый кошелек.

Кейс 2: Создание кошелек через демонстрацию экрана в видеоконференции. Г-жа Чжан под дистанционным руководством "учителя" создала кошелек через демонстрацию экрана в видеоконференции. Учитель демонстрировал шаг за шагом: скачивание кошелек, генерация мнемонической фразы, пополнение Gas и покупка токен. Весь процесс казался очень "доверительным", и в конце ей даже напомнили: "Никогда никому не раскрывай свой приватный ключ". Однако, без ее ведома, в момент демонстрации экрана мнемоническая фраза могла быть записана. Две недели спустя примерно 12 000 USDT на ее счету были выведены.

Рекомендация по безопасности: При создании кошелек отключите демонстрацию экрана, запись экрана или функции трансляции экрана. Если есть подозрение, что приватный ключ мог быть скомпрометирован, активы следует немедленно перевести на новый кошелек. Кроме того, на странице OKX Wallet, где отображается приватный ключ и мнемоническая фраза, создание скриншотов, запись или демонстрация экрана не допускаются, что эффективно повышает безопасность.

Изображение: При обнаружении демонстрации экрана OKX Wallet автоматически скрывает мнемоническую фразу и приватный ключ, предотвращая просмотр текста другими лицами

(II) Самый распространенный сценарий: Неправильное хранение приватного ключа, ведущее к утечке

Кейс 3: Фейковое приложение, кошмар пользователя Android. Г-н Ван, осторожный пользователь, сделал скриншот мнемонической фразы после создания кошелек и сохранил его в своей локальной фотогалерее, никогда не загружая его в облако, полагая, что это безопаснее. Однако он скачал так называемую "улучшенную версию Telegram" с форума, приложение, иконка и интерфейс которого были почти идентичны официальной версии. На самом деле оно постоянно сканировало галерею телефона в фоновом режиме, использовало технологию оптического распознавания символов (OCR) для идентификации мнемонической фразы и автоматически загружало ее на сервер хакера. Три месяца спустя все активы на счету г-на Вана были опустошены, что привело к убыткам, превышающим 50 000 $. Технический анализ показал, что на его телефоне также были фейковые imToken, MetaMask, Google Authenticator и другие вредоносные приложения.

Кейс 4: Вредоносное приложение BOM, ведущее к утечке мнемоники. 14 февраля 2025 года несколько пользователей столкнулись с инцидентами концентрированной кражи активов кошелек. Анализ данных в блокчейн показал, что все эти случаи кражи имели типичные признаки утечки мнемонической фразы/приватного ключа. Дальнейшее изучение пострадавших пользователей показало, что большинство из них ранее установили и использовали приложение под названием BOM. Углубленное расследование показало, что это приложение на самом деле было тщательно замаскированным мошенническим программным обеспечением. Злоумышленники путем манипуляции авторизацией пользователя незаконно получали права доступа к мнемонической фразе/приватному ключу, обеспечивая систематический перевод активов и пытаясь скрыть свои действия.

Совет по безопасности: Многие пользователи из-за "удобства" вырабатывают привычки, которые по иронии судьбы являются самыми опасными. Поэтому всем рекомендуется: 1) Не делайте скриншот мнемонической фразы! Рекомендуется вручную скопировать ее на бумагу и хранить в надежном месте. 2) При скачивании приложения обязательно используйте только официальные каналы, и не пробуйте легкомысленно неизвестные "улучшенные" версии или сторонние модификации. 3) Если обнаружены аномалии устройства или если приватный ключ был ранее заскриншочен, не полагайтесь на удачу и немедленно переведите активы на новый кошелек. 4) Что сделала OKX? Чтобы предотвратить создание пользователями скриншотов на страницах резервного копирования приватного ключа и мнемонической фразы, мы отключили функцию скриншота на этих конфиденциальных страницах.

Изображение: OKX Wallet запрещает скриншоты на страницах приватного ключа и мнемоники

В то же время, чтобы снизить риск установки пользователями фейковых приложений, версия для Android также предоставляет функцию сканирования вредоносных приложений.

Изображение: OKX Wallet на Android предоставляет функцию сканирования вредоносных приложений

(III) Самый распространенный и легко поддающийся обману сценарий: фишинг приватных ключей

Кейс 5: Фишинг через фейковый аирдроп. Известный NFT проект объявил в Twitter, что проведет аирдроп нового токен для держателей. Всего через 10 минут после объявления в верхней части результатов поиска Google появились многочисленные фишинговые сайты (продвигаемые через платную рекламу). Эти фишинговые сайты имели доменные имена, отличающиеся всего на одну букву (например, opensae.io вместо opensea.io), с дизайном страниц, почти идентичным официальному сайту. Когда пользователи подключали свои кошелек, страница отображала подсказку: "Перегрузка сети, соединение не удалось, пожалуйста, введите вручную свою мнемоническую фразу, чтобы получить аирдроп". В тот день более 50 пользователей попались на мошенничество, что привело к общим потерям более 200 000 $. У самой быстрой жертвы активы были выведены в течение 3,7 секунд после ввода мнемонической фразы.

Кейс 6: Атака социальной инженерии. Г-жа Чжао столкнулась с операционной проблемой в группе Discord проекта. Администратор с аватаром и никнеймом, которые выглядели очень "официально", проактивно написал ей в личные сообщения, утверждая, что он из службы поддержки и хочет помочь ей решить проблему. Они отправили ей ссылку на "страницу верификации". Доверяя администратору, г-жа Чжао перешла по ссылке и ввела свою мнемоническую фразу, как было указано. Страница выглядела точно так же, как официальный сайт. Через несколько минут из ее кошелек постоянно выводились различные активы. Только тогда она поняла, что так называемый администратор на самом деле был мошенником, и любая "служба поддержки", просящая пользователей ввести свою мнемоническую фразу или приватный ключ на сайте, несомненно, является мошенничеством. Стоит отметить, что помимо выдачи себя за официальных администраторов, мошенники также могут выдавать себя за друзей, членов команды проекта или других доверенных лиц.

Совет по безопасности: Легитимный DApp никогда не попросит у вас приватный ключ, и доверенное лицо никогда не потребует у вас приватный ключ. Помните: ваш приватный ключ — это ключ к вашим активам, поэтому обязательно храните его в безопасности и никогда не раскрывайте его легкомысленно.

III. Почему провайдеры кошелек могут сделать немногое, как только приватный ключ скомпрометирован?

Некоторые пользователи, обнаружив подозрение на утечку приватного ключа и вывод активов, немедленно связываются с командой кошелек, надеясь, что мы сможем предоставить дополнительную помощь. Однако на самом деле, как только приватный ключ был раскрыт, пространство, в котором провайдеры кошелек могут вмешаться, очень ограничено.

Здесь давайте кратко объясним базовый процесс, которому мы следуем при получении сообщений о "краже активов", а также объясним, почему во многих случаях мы не можем напрямую "восстановить" активы в блокчейн:

Во-первых, мы поможем пользователю отследить движение средств, анализируя, могут ли средства в блокчейн быть связаны с известными группами хакеров или кластерами адресов. В то же время мы посоветуем пользователю быстро перевести любые активы, которые не были украдены, чтобы снизить риск дальнейших потерь. В случаях значительной кражи мы порекомендуем пользователям незамедлительно связаться с местными правоохранительными органами для получения помощи по правовым каналам. Наша внутренняя команда также проведет тщательный анализ инцидента, обобщит образ действий хакера и предоставит идеи для будущей защиты пользователей.

Как провайдер инструментов, кошелек сами по себе не могут заморозить или откатить активы в блокчейн. Как только хакер получает приватный ключ, он обычно использует автоматизированные скрипты для завершения перевода средств в течение нескольких секунд, с очень высокой скоростью, в которую трудно вмешаться. Только когда украденные средства в конечном итоге поступают на централизованную криптобиржа, возможно подать заявку на временную заморозку по правовым каналам.

Когда траектория средств связана с известными нам кластерами хакеров, мы будем исходить из их общего образа действий, чтобы помочь пользователям вспомнить, не совершали ли они недавно каких-либо высокорискованных операций, тем самым определяя, в какой момент приватный ключ мог быть раскрыт.

OKX всегда уделяла приоритетное внимание безопасности средств пользователей, инвестируя значительные средства на протяжении многих лет в создание системы контроля рисков и разработку механизмов многофакторной аутентификации. Хотя эти процессы могут показаться громоздкими, все они направлены на лучшую защиту безопасности активов пользователей. Можно сказать, что мы также являемся одной из команд в отрасли, которая больше всего инвестировала в безопасность.

Изображение: Показатель безопасности OKX Wallet занимает первое место

Как упоминалось ранее, если пользователям не хватает осведомленности о безопасности или они используют практики неправильно, они все равно могут понести убытки по таким причинам, как фишинг или утечка приватного ключа, независимо от того, какой кошелек они используют. Поэтому правильная защита приватного ключа всегда остается самым критическим фундаментом безопасности. Помимо постоянного улучшения собственных функций безопасности продукта, мы также постоянно усиливаем анализ случаев и делимся советами по безопасности, чтобы помочь пользователям лучше идентифицировать потенциальные сценарии риска.

4. В заключение, советы по безопасности приватного ключа

Отказ от ответственности:

Эта статья предназначена только для справки. Эта статья не намерена предоставлять (i) инвестиционные советы или инвестиционные рекомендации, (ii) предложение, запрос или побуждение к покупке, продаже или хранению цифровых активов, или (iii) финансовые, бухгалтерские, юридические или налоговые консультации. Цифровые активы (включая стейблкоин и NFT) подвержены рыночным колебаниям, сопряжены с высоким риском и могут обесцениться. По вопросам о том, подходит ли вам торговля или хранение цифровых активов, пожалуйста, проконсультируйтесь с вашим юридическим/налоговым/инвестиционным специалистом. OKX Web3 Wallet — это только тип сервиса программного обеспечения кошелек с самостоятельным хранением, который позволяет вам обнаруживать сторонние платформы и взаимодействовать с ними, и OKX Web3 Wallet не может контролировать услуги таких сторонних платформ и не несет за них ответственности. Не все продукты доступны во всех регионах. Вы несете ответственность за понимание и соблюдение соответствующих местных законов и правил. OKX Web3 Wallet и связанные с ним услуги не предоставляются криптобиржа OKX и регулируются Условиями обслуживания экосистемы OKX Web3.

Эта статья является предоставленным контентом и не отражает взгляды BlockBeats.