Time:2023-10-11 Click:95
产品创新做得好,是因为安全做得好,安全是一切技术不断创新的基石。
作为在创新和安全层面做得最好的钱包之一,OKX Web3钱包在首创多个独家功能同时,保持了零安全事故记录, 7 × 24 为用户资产安全值守。“我们每天思考的就是如何让钱包更安全”,OKX Web3钱包产品经理 Neil 直言。
在 OKX 内部,产品安全是“死守的底线”,这道“底线”也反映在 OKX 所有产品线的开发上。团队谨慎做事,将 DeFi 业务实现安全事故零记录,不断创新,将 CeFi 业务提升至传统金融审计标准,全力保证产品安全。
7 月 27 日,推特用户 Jack Davis 称赞 OKX 持续公开储备金证明,并支持用户随时验证的做法让他安心许多,OKX CEO Star 随即转发了这条推文并评论称,“加密货币领域有很多骗子,他们在公开场合像绅士一样谈论愿景,但私下里却偷盗婴儿奶瓶,空谈是廉价的,技术不会说谎。”
Web3本就是一场信任游戏,产品安全是存活的铁律,如果没有这个觉悟,注定要被毒打。
致力成为行业 Builder 榜样的 OKX 是如何进行安全布局的?对不少用户而言,这仍是一个“未知领域”。接下来,我们将以 OKX Web3钱包保持零安全事故记录为主线,以其安全功能为碎片,还原其“安全之基”的全貌,窥见其战略布局的筹谋。
越来越多用户为Web3钱包带来的所有权变革欢欣鼓舞时,也因私钥丢失或者被盗、空投诈骗、问题合约、钓鱼链接等所带来的资产损失陷入恐慌。
当前Web3钱包安全问题呈现多样性、复杂性、和关联性等特征,此处无法细致到每个安全问题,主要针对当前主要的安全问题进行梳理。Web3钱包主要可以归为两类:钱包本身安全、和链上使用安全。
钱包本身安全问题也主要归为两类:对用户层面而言,主要以私钥的丢失或者被盗问题为主;对钱包层而言,更多的则是挪用用户私钥,监守自盗这类问题。
链上使用安全问题主要归为一类:即由合约漏洞、恶意诈骗签名、授权等第三方引发的用户安全问题。
面对以上安全问题,OKX Web3钱包是如何逐一击破的?
在钱包是否存在“自守自盗”问题上,OKX Web3钱包采用了一个非常坦诚的做法——开源。仅当前就包括多链签名 SDK 全面开源、MPC 无私钥钱包核心算法开源、AA 钱包开源、以及 BRC 20-S 开源。开源的最大的好处就是可以全世界的程序员都可以来查验代码,审查漏洞以及是否有什么后门等,由大家来替他们完成安全证明,从未私自拿走用户私钥,将用户信任值拉满。
在用户私钥丢失问题上,OKX Web3钱包上线 iCloud/Google Drive 云端、手动、硬件等多种助记词/私钥备份方式,来保证用户私钥不会丢失,已成长为市面上支持私钥备份方式最全面的钱包。在用户私钥被盗问题上,OKX Web3钱包已支持 Ledger、 Keystone、Onekey 等最全面的主流硬件钱包功能来保证用户私钥不会被盗,硬件钱包的私钥永远只存储在硬件钱包设备里,由用户自己掌握,从而保障资产安全。也就是 OKX Web3钱包让用户通过硬件钱包安全管理资产的同时,又可以自由参与链上代币交易、NFT 市场和各类 dApp 项目交互等。
这两个功能虽好,但并不能从根本上解决用户私钥的丢失或者被盗问题,怎么办?那就做不需要私钥的钱包。OKX 开始发挥技术创新和产品的“特长”,率先研发了 MPC 无私钥钱包、以及可以通过社交恢复私钥的 AA 智能合约钱包。
2023 年 4 月 4 日,OKX Web3 钱包正式上线 MPC 无私钥钱包,该无私钥钱包基于 MPC 技术研发,支持 37 条公链,是市面上第一个 2/3 的多链无私钥钱包,并首创紧急出口功能,用户可在紧急场景下,通过完全由自己管理的两个私钥分片即可导出私钥提走资产,实现了真正意义上的去中心化自托管无私钥钱包。通过 OKX MPC 无私钥钱包,用户再也无需再管理复杂的私钥或者助记词,使用门槛大大降低,上线短短两周,创建用户已突破 10 万。
8 月 2 日,OKX Web3正式推出了 AA 智能合约钱包,并即将支持社交恢复功能,这意味着用户即使丢失私钥,钱包里的资产依然是安全的,而且用户还可以通过社交恢复功能重获账户访问。此外,AA 智能合约钱包解决私钥丢失问题同时,将钱包的便捷性、功能性、和体验性提升到行业新标准,距离Web3钱包的大规模采用时代再近一步。当前欧易 OKX AA 智能合约钱包也已经开源智能合约代码,覆盖 Ethereum、Arbitrum、Polygon、Optimism、BNB Chain、Avalanche 共 7 条热门公链,旨在提升其Web3钱包的安全透明。
至此,OKX Web3钱包在本身安全问题上已经完成了“从预防到根治”的转化。第一类安全问题拆解完之后,再来聊聊第二类链上使用安全类问题。
Web3钱包的链上使用安全问题,就像是电信诈骗问题已经不属于产品安全的范畴,主要是第三方所引发的,但 OKX Web3钱包将其作为重点,构建了强大的防护体系,其中最强悍的就是——KYT 天眼安全系统, 7 X 24 小时为Web3钱包用户保驾护航。
由于该系统涉及的功能众多,且正在不断升级中,此处仅挑选其中几个比较重要功能展开聊聊。
该系统功能之一就是风险授权提醒,当前系统已拥有 3 亿 链上地址标签库,且在不断更新中,可以在用户涉及到恶意地址、可疑交易时,进行有效风险检测并自动预警。据 OKX Web3钱包产品经理 Neil 直言,未来还将对地址标签进行分层处理,白名单地址以普通提示为主,灰名单地址以普通风险提示为主,黑名单地址将直接进行拦截。
比如,用户遇到貔貅盘、钓鱼网站等的时候,KYT 天眼安全系统会自动识别并进行有风险提示,避免用户风险交易。
再有就是一键授权管理功能,这个功能比较好理解,就是如果用户有误操作的行为,在链上交互时候涉及到风险合约授权,可以使用 OKX Web3钱包一键管理风险合约授权,定期清理风险,提前避坑。
最后还有一个比较重点的功能,据 Neil 表示已经在开发中,但还未正式上线——预执行。这意味着用户可以在签名交易前,预先执行一遍即将上链的数据,该系统会展示潜在的风险,避免盲签骗局。
令人惊喜的是,近期 OKX Web3 钱包还支持了 Flashbot,从而保护用户防止 MEV 攻击。用户可以在 OKX Web3钱包的 ETH 链 SWAP 交易中,点击“更多”,并开启 MEV 保护,可有效的防止 MEV 攻击。OKX Web3 钱包将交易发送到可信的第三方节点(如 Flashbots 私密池),而不是常规的交易池,以确保交易顺序不会更改。
无论是钱包本身安全,还是链上使用安全问题,OKX Web3钱包都为用户做好了全方位的防护,这也就是为什么他们可以创造行业Web3钱包零安全事故记录的所在。
此外,据 Neil 透露,OKX Web3钱包正计划从风险预防、风险清理、以及风险兜底等层面继续强化安全防护体系,主要围绕增加用户教育、钱包安全类型升级、以及安全兜底三个核心功能展开,从而升级至行业全新标准。
以上就是 OKX Web3钱包“安全之基”的全貌。团队深知,安全没有 100% ,只有不断做加法。
推特用户0x Unicorn 独角兽曾发文表示,在与 OKX 朋友吃饭时聊到他们投了 400 人做了一年多,这个硬投入全行业除了币安没别人能投得起。CEX 被革命是早晚的事,OKX 预见了这个事,他们的Web3钱包已经非常领先。
人才和资金的投入仅仅是 OKX Web3钱包战略高度的冰山一角,其背后高维的视野更值得思考。预见未来的最好办法,就是创造未来,一家成功的公司,一定知道自己是谁,从哪里来的,要到哪里去。作为全球第二大加密资产交易所,OKX 更敏锐的嗅到未来趋势,并敢于投身探索。作为与用户最重度、最高频连接的入口级产品,OKX Web3钱包屡屡实现突破性创新,是 OKX DeFi 业务的核心产品,起源于 2021 年 BTC 创下 6.9 万美元新高前夜,深耕于加密行业长达两年以上的漫长熊市里。
OKX Web3钱包现如今已成长为行业最全面、最先进、使用门槛最低的钱包之一,支持 70 公链,App、插件、网页三端统一,涵盖钱包、DEX、DeFi、NFT 市场、DApp 探索 5 大板块。还支持 Ordinals 市场、创建 MPC 钱包、兑换 Gas、iCloud/Google Drive 备份助记词、自定义网络、连接硬件钱包等功能。
这些功能的背后无疑不是依托于钱包的安全基础之上,安全是一切技术创新的根本,失去安全就如同镜中之花、水中之月,从以上对“安全之基”的全貌的分析不难看出,OKX Web3钱包将产品安全放在了不亚于产品创新一样的战略高度。
虽然当前Web3用户数量已经增长为亿级规模,但活跃用户数仅在几千万规模,相对传统互联网而言仍处在早期阶段,而Web3钱包作为用户链上交互的入口,是实现Web3大规模采用的关键场景,在此叙事下,对于Web3钱包易用性、稳定性和安全性都提出了更高的要求,钱包应抓住此轮机会,以独特的产品优势取胜。
如果做好产品产品创新的本质是保持领先地位,穿越“达尔文之海”,那么安全的本质是收获的是信任,对于涉及用户资产安全的产品而言,“信任只有一次,一旦毁掉,万劫不复”。
试想 OKX Web3钱包这类行业领先级入口一旦被默认,就可以持续发力,必将带动大量Web3从用户增长,产生极大的价值,当然也对其技术能力带来极大挑战,尤其是随着 ERC-4337 等标准的推出,除了传统的 EOA 钱包外,AA 智能合约钱包、MPC 钱包等也将迎来快速发展,在日新月异的加密行业里,只有不断快速迭代才能满足日益增长的Web3用户需求。