本文將以把安全第一作為產品設計第一原理的OKX為樣本，系統化折開OKX Web3錢包與OKX CEX的安全體系。

談安全離不開它的反義詞，風險。

近期，MIxin、CoinEx被盜以及HTX熱錢包被攻擊等一系列安全事件的發生，讓投資者再次將目光聚集到行業安全問題上。

據派盾統計，截至9月25日，Mixin（損失2億美元）、Euler Labs（損失1.97億美元，駭客已退還）、Vyper/Curve（損失7360萬美元，駭客退還5230萬美元）、CoinEx（損失7000萬美元）、Atomic Wallet（損失6500萬美元）、Stake（損失4100萬美元）、CoinsPaid（損失3770萬美元）、Poly Network（損失2600萬美元）、 low-carb-crusader（損失2500萬美元）、針對巨鯨的網路釣魚（損失2400萬美元）等金額前十大的駭客攻擊事件中產生的總損失不少於6億元。

在加密世界這個黑暗森林中，駭客攻擊、釣魚詐騙等各種風險無時無刻不在發生。

本文將以把安全第一作為產品設計第一原理的OKX為樣本，系統化折開OKX Web3錢包與OKX CEX的安全體系，從團隊所做、所思與所想中挖掘出Web3安全世界裏的本質問題。

關於錢包安全，識別、標記以及實时攔截風險是關鍵

據CertiK發佈的2023年第二季度Web3.0行業安全報告統計，CertiK總共發現212起安全事件，駭客等惡意行為者已從Web3.0行業中榨取價值3.1億美元代幣。可見鏈上資產安全問題的嚴峻性。

以人們常用的Ethereum的EOA帳戶為例，一般情况只有在私密金鑰遺失、使用approve函數授權惡意合約、使用permit功能對植入惡意轉幣消息進行簽名的情况下，資產才有可能被轉走。

在私密金鑰遺失問題上，一方面是人為經驗不足導致的助記詞遺失，這種情況多發生在剛入行的小白身上；另一方面則可能是玩家在領取空投時登入釣魚網站主動填寫私密金鑰和助記詞導致的。這兩種情况都很常見，當然，也有下載到惡意錢包或錢包所在電腦/手機被植入木馬程式最後被駭客控制的情况發生，只不過現在的手機和電腦，只要去正規網站下載軟體並記得及時陞級到最新版本，同時有基本的網路安全常識的話則很難中招。

針對人為經驗不足導致的私密金鑰遺失問題，OKX Web3錢包通過推出MPC無私密金鑰錢包幫助用戶規避風險。

MPC全名Multi-Party Computation多方計算，可簡單理解為多簽錢包。& nbsp； OKX Web3 MPC錢包運用MPC科技將私密金鑰打成碎片一分為三，分別由OKX交易所、用戶設備、雲端備份（iCloud/Google Drive）保管，用戶在創建錢包時，只需要登入OKX APP選擇以無私密金鑰錢包管道創建地址，並開啟雲端備份來備份第三份碎片即可，無需手動保管助記詞，並且用戶在使用時需要2/3個碎片才能够完成簽名授權，所有交易過程均不會出現私密金鑰明文。在一定程度上解决了私密金鑰外泄導致的資產安全問題。此外，OKX還為MPC錢包設定了緊急逃生功能，用戶在遇到特殊狀況時，只需要在緊急出口輸入雲端備份密碼，即可快速地獲得私密金鑰並移轉資產，安全且便捷。

人為經驗不足導致的助記詞相關安全問題一般多發於入門群體，對於有互動經驗的用戶來講，風險多發於approve授權和permit簽名這兩個環節，比如上述提及的釣魚風險等。

approve函數是鏈上互動中的重要一環，允許合約調用transferForm函數，按合約程式碼裏約定好的規則來轉移地址中的資產。一旦approve授權到惡意合約，將面臨較大資產被盜風險。

簽名風險則主要源於erc20協定的permit擴展功能，該功能允許用戶通過簽名消息來完成授權操作，並將簽名結果發送給另外一個錢包以完成資產轉移操作。常見於用戶使用DEX掛單功能時，以1inch的Fusion功能為例，該功能讓用戶對掛單的消息進行簽名，簽名後用戶可以在不支付gas的情况下將資產委託給1inch處理，然後1inch會提供用戶想購買的幣。在此過程中，如某網站偽造惡意消息讓用戶簽名，後果大概率會令人惋惜。

囙此，風險監測顯得尤為重要。

OKX Web3團隊開發了整理授權管理頁面，用戶可以直接在該頁面查看自己在協定和幣種上的授權情况，同時可在該頁面直接取消授權，以規避不必要的風險。對於那些惡意風險合約，OKX Web3錢包通過接入KYT天眼系統來幫助用戶進行風險檢測，現時該系統收錄3億多條加密貨幣地址，能够在用戶涉及到惡意地址、可疑交易（貔貅盤/釣魚等）時進行有效的風險檢測與自動預警。

OKX Web3團隊安全架構負責人Neil表示，OKX接下來將對地址標籤進行分層處理，白名單地址通過普通提示進行處理，灰名單地址通過普通風險提示進行處理，黑名單地址將直接進行攔截，未來團隊將在風險預防、風險清理、風險兜底以及用戶教育等各方面持續建設，以加强安全防護體系，堅定不移地做好用戶的安全衛士。

其實，除了互動環境隱藏的風險外，錢包本身的安全也尤為重要。現時，OKX Web3錢包已完成多鏈簽名SDK全面開源，MPC無私密金鑰錢包覈心算灋開源，AA錢包開源以及BRC20-S開源。程式碼開源的意義在於實現產品的透明、可靠，並在接受同行&ldquo；評判&rdquo；同時推動開發者之間的交流與開放式合作，進而推動Web3科技的發展進步。

當然，除了鏈上各種風險外，諸如FTX等中心化平臺坍塌而引發的系統性風險則更令人擔憂。& nbsp；

關於CEX安全，重點是自監管與搭建過硬風控體系

從Fcoin跑路到FTX暴雷，過去幾年，不少CEX平臺都沒有逃過隕落的魔咒。究其原因，多為快速增長與企業責任意識錯配背景下的內部管理不善導致的，當然，更根本的原因還是在於人性。

囙此自約束、自監管成為CEX必做之事。

自去年年底以來，行業頭部企業紛紛啟動自監管模式，通過POR等機制來提升資金透明度，將用戶資金情况上鏈進行公開披露。

據官方資訊顯示，OKX已連續11個月發佈儲備金證明，22個公示幣種的儲備金率均超過100%，其中BTC、ETH、USDT的儲備金率分別為102%、103%和102%，三者總計價值達112億美元，是行業為數不多的按月發佈儲備金證明的主流加密交易所。相關人士表示，OKX致力於提升POR透明度至傳統金融審計標準，將持續引領行業安全透明，現已通過zk-STARK等創新技術陞級POR系統，用戶隨時可以獨立驗證OKX的償付能力。截止目前，已有數十萬用戶參與訪問POR頁面並完成自行驗證。

談CEX的安全永遠逃不開人性的弱點，但這可不是短期內能够被克服的。對於普通用戶而言，更該關注如何在極端事件發生的時候保證資產安全？對於平臺來講，則更需要清楚地意識到幫助用戶在危機中&ldquo；獨善其身&rdquo；才是最覈心的競爭力。

Luna崩盤事件，OKX風控系統第一時間啟動自動贖回機制，幫助參與UST理財的用戶順利躲過一劫； 3Commas API數據洩露事件中，OKX是其合作的眾多交易所中唯一用戶0損失且安全性能最完備的平臺，面對種種考驗，OKX都展現出了過硬的&ldquo；貭素&rdquo；。

能够多次穿越風浪，覈心在於OKX團隊總是會提前類比潜在可能發生的風險，並將大量時間和精力投入到風險控制體系的建立與反覆運算上。風控系統相關負責人表示：&ldquo； OKX的API系統中具備强大的Fast API功能、IP白名單、反擊欺詐風控以及三方白名單功能，這些都是OKX API風險控制體系的覈心功能，即使駭客入侵API金鑰，也無法輕易使用金鑰，雖然用戶平時無法感知到這些措施的存在，但它們總是在關鍵時刻默默發揮作用。& rdquo；

確實如此，安全並不需要性感的故事，其本質還在於平臺能否堅持時刻具備責任意識，這似乎就需要支點了，該風控負責人坦言，OKX責任意識的支點在於希望推動&ldquo；科技向善&rdquo；在Web3生根發芽。