Почему DEX-боты считаются рискованными?

DEX-боты часто требуют загрузки приватных ключей на серверы сторонних провайдеров; такие ключи иногда хранятся в открытом или легко расшифровываемом виде, что даёт доступ техническому персоналу и повышает риск при компрометации инфраструктуры.

Повышает ли открытый код безопасность кошелька?

Нет, по мнению Стар Сью, открытый код сам по себе не гарантирует безопасность: уязвимости в программном обеспечении, атаки на цепочку поставок и компрометация репозиториев позволяют похищать приватные ключи.

Риски криптовалютных кошельков по версии Стар Сью из OKX

Q: Чем помогают Smart Accounts на базе TEE?

Smart Accounts на базе Trusted Execution Environment позволяют запускать автоматические стратегии без передачи контроля над приватными ключами, что снижает операционные риски при автоматизации действий.

CEO OKX Стар Сью перечислил основные причины потери криптовалют: DEX-боты, уязвимости самокастодиальных кошельков, компрометация устройств и автоматизированные стратегии. Что важно знать пользователю.

Основатель и CEO OKX Стар Сью опубликовал развёрнутое заявление о самых распространённых причинах потери криптовалют. По его словам, пользователи часто неверно оценивают источники рисков и переоценивают уровень защиты отдельных продуктов, при этом решения, позиционируемые как децентрализованные, могут нести централизованные угрозы.

Кто такой Стар Сью и почему его мнение важно

Стар Сью — основатель и CEO OKX, и в своём заявлении он систематизировал основные источники компрометации кошельков. Его выводы полезны для пользователей, поскольку исходят из практических наблюдений оператора крупной платформы; при этом подробнее о самой бирже можно прочитать в обзор OKX, где описаны базовые принципы работы и безопасность.

Риски, связанные с DEX-ботами

Первой ключевой проблемой Стар Сью назвал DEX‑боты, которые требуют загрузки приватных ключей на серверы сторонних сервисов. По его словам, в ряде случаев эти ключи хранятся в открытом или легко расшифровываемом виде, что означает возможность доступа со стороны технического персонала и, в случае компрометации инфраструктуры, уровня риска, сопоставимого с централизованной биржей.

Он также отметил, что такие сервисы не следует автоматически считать самокастодиальными, а операторы ботов в ряде юрисдикций могут подпадать под требования KYC и AML, что создаёт дополнительные юридические и уголовные риски для разработчиков и провайдеров подобных решений.

Уязвимости самокастодиальных кошельков

Вторым источником угроз Стар Сью указал ошибки в коде самокастодиальных кошельков и атаки на цепочку поставок, включая компрометацию репозиториев. В результате таких инцидентов приватные ключи могут быть похищены без ведома пользователя, и автор подчёркивает, что открытый код сам по себе не гарантирует безопасность.

Компрометация пользовательских устройств

Третья группа рисков связана с заражением устройств вредоносным ПО, которое может перехватывать ввод с клавиатуры или данные из буфера обмена. Дополнительную угрозу представляют скриншоты сид‑фраз, которые автоматически загружаются в облачные сервисы, что делает сид‑фразы доступными вне контроля пользователя.

Автоматизированные торговые стратегии и новые технологии

Стар Сью отметил, что для работы автоматических стратегий многие пользователи вынуждены передавать приватные ключи сторонним сервисам, и это создаёт существенные операционные риски. В качестве альтернативы он сообщил, что OKX Wallet готовит внедрение Smart Accounts на базе Trusted Execution Environment: такая архитектура позволит запускать автоматические стратегии без передачи контроля над ключами.

Тема безопасности кошельков обсуждается и другими лидерами отрасли; с идеями по усилению защиты кошельков можно ознакомиться в материале о предложениях других руководителей, в том числе по усилить безопасность кошельков, где приведены сопоставимые подходы к снижению рисков.

Будущее безопасности криптовалютных кошельков

В заключение Стар Сью подчеркнул, что безопасность и удобство не противоречат друг другу, и указал направление развития кошельков в сторону архитектур, позволяющих сочетать автоматизацию и контроль над ключами. Это наглядно демонстрирует попытку снизить операционные риски, не жертвуя функциональностью для пользователей.

Почему это важно

Даже если вы майните и управляете кошельками на небольшом количестве устройств, перечисленные риски напрямую влияют на сохранность средств: загрузка ключей в сервисы, уязвимости в коде и заражение устройств увеличивают вероятность потерь. Кроме того, для тех, кто разрабатывает или использует ботов, стоит учитывать регуляторные требования KYC и AML, которые могут повлечь юридические последствия для операторов.

Что делать?

Не загружайте приватные ключи на сторонние серверы и относитесь к сервисам, требующим такого шага, как к централизованным по риску.
Не храните сид‑фразы в виде скриншотов или в облаке; избегайте автоматической синхронизации данных, которые содержат секреты.
Следите за состоянием устройств: обновляйте ПО, используйте антивирусные решения и минимизируйте использование тех же машин для майнинга и управления ключами.
Перед использованием ботов и автоматических стратегий проверяйте архитектуру сервиса; отдавайте предпочтение решениям, которые не требуют передачи контроля над ключами (например, Smart Accounts/TEE, когда они станут доступны).
Если вы разрабатываете или эксплуатируете сервисы, учитывайте требования KYC и AML в вашей юрисдикции, чтобы снизить юридические риски для проекта и пользователей.