Team di sicurezza OKX Web3: Proteggi la tua chiave privata come la pupilla dei tuoi occhi

Source: OKX

Not Your Keys, Not Your Coins — la libertà decentralizzata al costo di un'assoluta "sicurezza della chiave privata".

Un rapporto di Chainalysis di luglio 2025 mostra che il 17%-23% di Bitcoin è permanentemente dormiente a causa della perdita della chiave privata o di danni al dispositivo. Poiché la chiave privata rappresenta la proprietà degli asset, una volta persa, non può essere ripristinata e non esiste un servizio clienti che possa aiutare a recuperarla. Se la chiave viene compromessa e i fondi rubati, il recupero è quasi impossibile. Il mondo online ci ha concesso la libertà, ma ha anche riportato la piena responsabilità nelle nostre mani. Con il prosperare dell'ecosistema online, si sono verificati frequentemente vari incidenti di furto di asset. Tuttavia, gli individui spesso se ne rendono conto troppo tardi e faticano a identificare dove si sia verificato il problema: la chiave privata è trapelata? Hanno cliccato su un link di phishing? Scaricato malware? O è stato un altro errore operativo?

Il team di sicurezza Web3 di OKX mira a migliorare la consapevolezza di tutti sulla sicurezza della chiave privata attraverso questo contenuto educativo e a evidenziare ancora una volta quei punti ciechi della sicurezza che vengono spesso trascurati.

1. Perché una chiave privata o una frase mnemonica potrebbero trapelare?

Innanzitutto, correggiamo un malinteso comune. Molti utenti credono che una fuga di notizie della chiave privata o della frase mnemonica (di seguito denominata "fuga di notizie della chiave privata") si verifichi solitamente durante l'utilizzo di un portafoglio cripto. In realtà, se scarichi e utilizzi un portafoglio tramite canali ufficiali e utilizzi un portafoglio di un marchio rispettabile, la chiave privata generalmente non trapela durante il normale utilizzo. Le fughe di notizie della chiave privata si verificano principalmente a causa di una conservazione impropria e dell'acquisizione da parte di attori malintenzionati. Una volta che qualcuno possiede la tua chiave privata, può importarla in qualsiasi portafoglio e controllare gli asset del conto.

In effetti, ci sono molte ragioni per le fughe di notizie della chiave privata e la fonte esatta è spesso difficile da individuare completamente. Tuttavia, analizzando numerosi casi del settore e assistendo nelle indagini, abbiamo compilato alcuni scenari e indizi tipici (come descritto di seguito).

Immagine: Sfide di analisi nel furto della chiave privata condivise da Xuandong di SlowMist

2. Scenari comuni di fuga di notizie della chiave privata e metodi di mitigazione

(1) Scenario più facilmente trascurato: Fuga di notizie durante la creazione del portafoglio

Caso studio 1: Assistenza alla creazione del portafoglio da parte di altri. Il Sig. Li aveva appena iniziato a esplorare il Web3 e, con l'aiuto di un "mentore entusiasta", ha creato un portafoglio. Il mentore lo ha assistito nella creazione del portafoglio, nell'impostazione della password di transazione e lo ha guidato attraverso depositi e transazioni. Sebbene fosse stata impostata una password di transazione per il portafoglio, durante il processo di creazione, il mentore aveva già ottenuto la sua chiave privata. Pochi giorni dopo, i 5 ETH che il Sig. Li aveva depositato sono stati rapidamente trasferiti. Solo allora si è reso conto che la password di transazione serviva solo per la convalida locale e che chiunque avesse la chiave privata poteva importarla in qualsiasi portafoglio e trasferire direttamente i suoi asset.

Raccomandazione di sicurezza: I portafogli dovrebbero essere creati in modo indipendente senza lasciare che nessuno "aiuti" o "agisca per conto di". Se c'è il sospetto che la chiave privata possa essere stata compromessa, gli asset dovrebbero essere prontamente trasferiti su un nuovo portafoglio.

Caso studio 2: Creazione del portafoglio tramite condivisione dello schermo in videoconferenza. La Sig.ra Zhang, sotto la guida remota di un "insegnante", ha creato un portafoglio tramite condivisione dello schermo in videoconferenza. L'insegnante ha dimostrato passo dopo passo: scaricare il portafoglio, generare la frase mnemonica, ricaricare Gas e acquistare token. L'intero processo sembrava molto "intimo" e, alla fine, le è stato persino ricordato: "Non divulgare mai la tua chiave privata a nessuno". Tuttavia, a sua insaputa, nel momento della condivisione dello schermo, la frase mnemonica potrebbe essere stata registrata. Due settimane dopo, circa 12.000 $ in USDT sul suo conto sono stati trasferiti.

Raccomandazione di sicurezza: Quando crei un portafoglio, disabilita la condivisione dello schermo, la registrazione dello schermo o le funzioni di condivisione dello schermo. Se c'è il sospetto che la chiave privata possa essere stata compromessa, gli asset dovrebbero essere prontamente trasferiti su un nuovo portafoglio. Inoltre, sulla pagina del portafoglio OKX che visualizza la chiave privata e la frase mnemonica, lo screenshot, la registrazione o la condivisione dello schermo non sono consentiti, migliorando efficacemente la sicurezza.

Immagine: Quando viene rilevata la condivisione dello schermo, il portafoglio OKX nasconde automaticamente la frase mnemonica e la chiave privata, impedendo ad altri di visualizzare il testo

(II) Scenario più comune: Conservazione impropria della chiave privata che porta alla fuga di notizie

Caso studio 3: Falsa APP, incubo di un utente Android. Il Sig. Wang, un utente cauto, ha fatto uno screenshot della frase mnemonica dopo aver creato un portafoglio e l'ha archiviata nella sua galleria fotografica locale, senza mai caricarla sul cloud, pensando che fosse più sicuro. Tuttavia, ha scaricato una cosiddetta "versione migliorata di Telegram" da un forum, un'APP la cui icona e interfaccia erano quasi identiche alla versione ufficiale. In realtà, scansionava continuamente la galleria del telefono in background, utilizzava la tecnologia di riconoscimento ottico dei caratteri (OCR) per identificare la frase mnemonica e la caricava automaticamente sul server di un hacker. Tre mesi dopo, tutti gli asset sul conto del Sig. Wang sono stati svuotati, con una perdita superiore a 50.000 $. L'analisi tecnica ha rivelato che il suo telefono aveva anche false APP imToken, MetaMask, Google Authenticator e altre APP dannose.

Caso quattro: APP dannosa BOM che porta alla fuga di notizie mnemonica. Il 14 febbraio 2025, diversi utenti hanno subito incidenti concentrati di furto di asset del portafoglio. Attraverso l'analisi dei dati on-chain, tutti questi casi di furto presentavano caratteristiche tipiche di fuga di notizie della frase mnemonica/chiave privata. Ulteriori revisioni degli utenti interessati hanno rivelato che la maggior parte di loro aveva precedentemente installato e utilizzato un'applicazione chiamata BOM. Un'indagine approfondita ha mostrato che questa applicazione era in realtà un software fraudolento accuratamente mascherato. Attori malintenzionati, attraverso la manipolazione dell'autorizzazione dell'utente, hanno ottenuto illegalmente le autorizzazioni della frase mnemonica/chiave privata, consentendo il trasferimento sistematico degli asset e tentando di nascondere le loro azioni.

Consiglio di sicurezza: Molti utenti, per "comodità", sviluppano abitudini che sono ironicamente le più pericolose. Pertanto, si raccomanda a tutti: 1) Non fare uno screenshot della frase mnemonica! Si suggerisce di copiarla manualmente su carta e conservarla in un luogo sicuro. 2) Quando scarichi un'app, assicurati di utilizzare solo i canali ufficiali, e non provare facilmente versioni "migliorate" sconosciute o modifiche di terze parti. 3) Se vengono rilevate anomalie del dispositivo o se la chiave privata è stata precedentemente oggetto di screenshot, non fare affidamento sulla fortuna e trasferisci immediatamente gli asset su un nuovo portafoglio. 4) Cosa ha fatto OKX? Per impedire agli utenti di fare screenshot sulle pagine di backup della chiave privata e della frase mnemonica, abbiamo disabilitato la funzione di screenshot su queste pagine sensibili.

Immagine: Il portafoglio OKX proibisce gli screenshot sulle pagine della chiave privata e mnemonica

Allo stesso tempo, per ridurre il rischio che gli utenti installino app false, la versione Android fornisce anche una funzione di scansione delle app dannose.

Immagine: Il portafoglio OKX su Android fornisce una funzione di scansione delle app dannose

(III) Lo scenario più comune e facile da ingannare: Phishing delle chiavi private

Caso cinque: Phishing di airdrop falso. Un noto progetto NFT ha annunciato su Twitter che avrebbe fatto un airdrop di un nuovo token ai detentori. Entro soli 10 minuti dall'annuncio, diversi siti web di phishing sono apparsi in cima ai risultati di ricerca di Google (promossi tramite pubblicità a pagamento). Questi siti web di phishing avevano nomi di dominio con solo una lettera di differenza (ad esempio, opensae.io invece di opensea.io), con design di pagina quasi identici al sito web ufficiale. Quando gli utenti collegavano i loro portafogli, la pagina visualizzava un prompt: "Congestione di rete, connessione fallita, si prega di inserire manualmente la frase mnemonica per richiedere l'airdrop". Quel giorno, più di 50 utenti sono caduti nella truffa, con una perdita totale di oltre 200.000 $. La vittima più veloce ha visto i propri asset trasferiti entro 3,7 secondi dall'inserimento della frase mnemonica.

Caso sei: Attacco di ingegneria sociale. La Sig.ra Zhao ha riscontrato un problema operativo in un gruppo Discord di un progetto. Un amministratore con un avatar e un nickname che sembravano molto "ufficiali" le ha inviato proattivamente un messaggio privato, sostenendo di essere il supporto clienti che voleva aiutarla a risolvere il problema. Le hanno inviato un link a una "pagina di verifica". Fidandosi dell'amministratore, la Sig.ra Zhao ha cliccato sul link e ha inserito la sua frase mnemonica come istruito. La pagina sembrava esattamente il sito web ufficiale. Pochi minuti dopo, diversi asset sono stati continuamente trasferiti dal suo portafoglio. Solo allora si è resa conto che il cosiddetto amministratore era in realtà un truffatore e che qualsiasi "supporto clienti" che chiede agli utenti di inserire la propria frase mnemonica o chiave privata su un sito web è senza dubbio una truffa. Vale la pena notare che oltre a impersonare amministratori ufficiali, i truffatori possono anche impersonare amici, membri del team di progetto o altre identità di fiducia.

Consiglio di sicurezza: Una DApp legittima non ti chiederà mai la tua chiave privata e una persona di fiducia non ti richiederà mai la tua chiave privata. Ricorda: la tua chiave privata è la chiave dei tuoi asset, quindi assicurati di conservarla in modo sicuro e non divulgarla mai facilmente.

III. Perché i fornitori di portafogli possono fare poco una volta che una chiave privata è compromessa?

Alcuni utenti, dopo aver scoperto una sospetta fuga di notizie della chiave privata e lo spostamento degli asset, contatteranno immediatamente il team del portafoglio, sperando che possiamo fornire maggiore assistenza. Tuttavia, in realtà, una volta che la chiave privata è stata esposta, lo spazio in cui i fornitori di portafogli possono intervenire è molto limitato.

Qui, spieghiamo brevemente il processo di base che seguiamo quando riceviamo segnalazioni di "furto di asset", e spieghiamo anche perché molte volte non possiamo "recuperare" direttamente gli asset on-chain:

Innanzitutto, assisteremo l'utente nel tracciare il flusso di fondi, analizzando se i fondi on-chain possono essere correlati a gruppi di hacker noti o cluster di indirizzi. Allo stesso tempo, consiglieremo all'utente di trasferire rapidamente tutti gli asset che non sono stati rubati per ridurre il rischio di ulteriori perdite. In caso di furto significativo, raccomanderemo agli utenti di contattare prontamente le forze dell'ordine locali per assistenza tramite canali legali. Il nostro team interno condurrà anche un'analisi approfondita dell'incidente, riassumerà il modus operandi dell'hacker e fornirà approfondimenti per la protezione futura degli utenti.

Come fornitore di strumenti, i portafogli stessi non possono congelare o ripristinare gli asset on-chain. Una volta che un hacker ottiene la chiave privata, solitamente utilizza script automatizzati per completare il trasferimento di fondi in pochi secondi, con una velocità molto rapida su cui è difficile intervenire. Solo quando i fondi rubati finiscono per confluire in una piattaforma di exchange centralizzata è possibile richiedere il congelamento temporaneo tramite canali legali.

Quando la traiettoria dei fondi è collegata a cluster di hacker noti di cui siamo a conoscenza, partiremo dal loro modus operandi comune per aiutare gli utenti a ricordare se hanno recentemente intrapreso operazioni ad alto rischio, determinando così in quale momento la chiave privata potrebbe essere stata esposta.

OKX ha sempre dato priorità alla sicurezza dei fondi degli utenti, investendo pesantemente nel corso degli anni per costruire un sistema di controllo del rischio e progettare meccanismi di autenticazione a più fattori. Sebbene questi processi possano sembrare macchinosi, mirano tutti a proteggere meglio la sicurezza degli asset degli utenti. Si può dire che siamo anche uno dei team del settore che ha investito di più nella sicurezza.

Immagine: Il punteggio di sicurezza del portafoglio OKX è al primo posto

Come accennato in precedenza, se gli utenti mancano di consapevolezza sulla sicurezza o utilizzano pratiche in modo improprio, potrebbero comunque subire perdite per motivi come phishing o fuga di notizie della chiave privata, indipendentemente dal portafoglio che utilizzano. Pertanto, salvaguardare correttamente la chiave privata rimane sempre la base di sicurezza più critica. Oltre a migliorare continuamente le capacità di sicurezza del prodotto stesso, rafforziamo continuamente l'analisi dei casi e condividiamo suggerimenti sulla sicurezza per aiutare gli utenti a identificare meglio potenziali scenari di rischio.

4. In sintesi, suggerimenti sulla sicurezza della chiave privata

Disclaimer:

Questo articolo è solo per riferimento. Questo articolo non intende fornire (i) consulenza sugli investimenti o raccomandazioni di investimento, (ii) un'offerta, una sollecitazione o un incentivo ad acquistare, vendere o detenere asset digitali, o (iii) consulenza finanziaria, contabile, legale o fiscale. Gli asset digitali (inclusi stablecoin e NFT) sono soggetti a fluttuazioni di mercato, comportano un rischio elevato e possono deprezzarsi. Per domande sull'adeguatezza del trading o della detenzione di asset digitali per te, consulta il tuo professionista legale/fiscale/di investimento. Il portafoglio OKX Web3 è solo un tipo di servizio software di portafoglio self-custody che ti consente di scoprire e interagire con piattaforme di terze parti, e il portafoglio OKX Web3 non può controllare i servizi di tali piattaforme di terze parti e non ne sarà ritenuto responsabile. Non tutti i prodotti sono disponibili in tutte le regioni. Sei responsabile della comprensione e del rispetto delle leggi e dei regolamenti locali pertinenti. Il portafoglio OKX Web3 e i suoi servizi correlati non sono forniti dall'exchange OKX e sono regolati dai Termini di servizio dell'ecosistema OKX Web3.

Questo articolo è un contenuto contribuito e non rappresenta le opinioni di BlockBeats.