Rejeitando o "teatro da segurança": a segurança da crypto wallet entra na era da verificabilidade

Source: OKX

Até 2025, a Web3 entrará em uma nova fase de "uso em maior escala e frequência", e as crypto wallets acelerarão sua evolução de uma "ferramenta de armazenamento de moedas" para um sistema operacional de transações. A empresa de pesquisa Fortune Business Insights estima que o mercado de crypto wallets atingirá cerca de 12,2 bilhões de dólares em 2025 e poderá crescer para 98,57 bilhões de dólares até 2034.

A expansão do lado do usuário também é evidente: a a16z crypto estimou no relatório "State of Crypto 2025" que existem aproximadamente 40-70 milhões de usuários ativos de criptomoeda, com cerca de 716 milhões de detentores de ativos que "possuem ativos, mas podem não estar necessariamente ativos on-chain"; o relatório da Crypto.com Research também afirma que os detentores globais de criptomoeda aumentaram de 681 milhões no primeiro semestre de 2025 para 708 milhões.

O outro lado do aumento da escala e da taxa de penetração é a amplificação simultânea dos riscos de segurança. Não se trata mais apenas de saber se o smart contract tem vulnerabilidades, mas de interceptar riscos nos pontos críticos do usuário, como clicar em links, conectar wallets, assinar autorizações e processar transações.

No mundo on-chain, a "superfície de ataque" muitas vezes se estende além das vulnerabilidades de smart contract e é mais comumente relacionada a phishing, domínios falsos, impersonificação de atendimento ao cliente e fraude de autorização como "riscos pré-transação". Por exemplo, a Chainalysis define "crypto drainers" como ferramentas que não roubam senhas, mas enganam os usuários para que conectem suas wallets e aprovem autorizações maliciosas. Dados públicos mostram que, em 2024, as perdas relacionadas a essas ferramentas chegaram perto da marca de 500 milhões de dólares.

Portanto, melhorar a segurança das Web3 wallets não se concentrará mais apenas em vulnerabilidades de smart contracts, mas precisará prestar atenção em como interceptar proativamente riscos em pontos-chave de comportamento do usuário, conhecida como "segurança pré-transação".

Nesse contexto industrial, a "segurança" está se tornando cada vez mais difícil de abordar com um simples slogan, assemelhando-se a uma capacidade de governança que precisa de validação contínua: verificabilidade, rastreabilidade e divulgação oportuna estão se tornando critérios importantes para os usuários na escolha de uma wallet.

De "alegações de segurança" para uma "lista de capacidades de segurança compreensíveis"

Por muito tempo, quando projetos de wallet discutiam segurança, a retórica comum incluía "passamos por auditorias", "temos um whitepaper" e "focamos muito em gestão de risco". No entanto, com a industrialização de golpes e phishing, essa "alegação de segurança" está perdendo sua persuasividade. O momento em que os usuários realmente encontram problemas acontece em interações muito breves, como assinar autorizações. Os "crypto drainers" descritos pela Chainalysis são um caminho típico: atacantes se disfarçam de páginas legítimas, guiam os usuários a completar a autorização e então drenam os ativos.

Dados públicos também estão impulsionando a narrativa do setor para a "compreensibilidade". A Security Week, citando estatísticas da Scam Sniffer, relatou que em 2024, quase 500 milhões de dólares em perdas foram causados por ferramentas de drenagem de wallet, com mais de 332.000 vítimas. Esses eventos não exigem que os atacantes quebrem sistemas complexos, mas dependem do fato de os usuários não entenderem os riscos durante as interações. Por outro lado, a Chainalysis, em sua divulgação de 2025, estimou que em 2024, a receita de golpes on-chain foi de pelo menos 9,9 bilhões de dólares. Quando o risco principal vem da "lacuna de legibilidade do lado do usuário", os fabricantes de wallets devem mudar a segurança da engenharia de backend para a expressão voltada ao usuário.

Como resultado, cada vez mais wallets no setor estão começando a "produtizar" suas capacidades de segurança: elas não dizem mais apenas "somos seguras", mas decompõem ações protetivas em uma lista que os usuários podem entender—como quais tokens serão sinalizados como de alto risco, quais transações acionarão alertas, quais endereços ou DApps serão bloqueados. A essência dessa mudança é transformar a segurança de uma "narrativa de qualificação" para uma "narrativa de interação".

Seguindo essa tendência, a página da Central de Segurança da OKX Wallet recém-lançada e atualizada fornece um exemplo mais típico de "expressão em formato de lista". A página descreve explicitamente três "defesas de linha de frente" voltadas aos usuários: detecção de risco de token, monitoramento de transações e triagem de endereços, explicando suas funções em frases simples. O benefício dessa abordagem é que, mesmo que os usuários não entendam a terminologia de segurança, eles podem se relacionar rapidamente com a ação que estão realizando.

Clique para visitar: Relatório de auditoria da página de segurança da OKX Wallet

Mais importante ainda, "compreensibilidade" não significa "falar sozinho". Na mesma página, a OKX Wallet também fornece um link para "ver relatórios de auditoria", conectando a "lista de capacidades" com a "verificação de terceiros". Além disso, a coleção de relatórios de auditoria em seu centro de ajuda detalha o escopo da auditoria, número de problemas encontrados e status de reparo, permitindo que os usuários transitem da "compreensão das capacidades" para a "verificação de evidências" quando necessário.

Esse tipo de transição de "alegação de segurança" para "checklist compreensível" não é sobre fazer a segurança soar mais grandiosa, mas torná-la mais acionável: como a fraude depende cada vez mais de engano e disfarce, a capacidade de uma wallet de colocar alertas de risco em pontos de interação e explicar "onde reside o perigo, por que é perigoso e o que você deve fazer" está se tornando parte da capacidade de segurança.

Informações de auditoria "publicamente verificáveis": transformando o endosso de terceiros de "link" para "cadeia de evidências verificáveis"

No setor de wallets, as auditorias enfrentam há muito tempo um problema prático: muitas informações estão espalhadas, dificultando que usuários comuns entendam rapidamente quem auditou, o que foi auditado, se os problemas foram corrigidos e quando foi a última atualização. Desta vez, a ação mais importante da OKX Wallet é consolidar relatórios de auditoria de terceiros publicamente disponíveis em um portal unificado, indicando diretamente na página a data de publicação e atualização, permitindo que os usuários determinem rapidamente que não se trata apenas de uma vitrine única, mas de uma janela de divulgação de informações ativamente mantida.

A partir das entradas exibidas publicamente nesta página, o escopo da divulgação não se concentrou apenas no alvo tradicional de auditoria de "smart contracts". Tomando o exemplo da CertiK de 23 de maio de 2024, o conteúdo da auditoria cobre claramente caminhos de código-chave em mobile e frontend: incluindo componentes iOS/Android, componentes de UI ReactJS, controladores JS que interagem com o keyring e múltiplos módulos SDK de wallet, fornecendo também a metodologia de auditoria.

Na mesma página, a entrada da SlowMist está mais próxima do "novo paradigma" da evolução da wallet: objetos auditáveis como contas de smart contract AA, wallets sem chave MPC, módulos de transação Ordinals estão todos listados; além disso, informações de auditoria sobre o módulo de segurança da chave privada são apresentadas separadamente, afirmando diretamente que "chaves privadas ou frases mnemônicas são armazenadas apenas no dispositivo do usuário e não são transmitidas para servidores externos", respondendo às preocupações principais do usuário sobre a segurança das chaves.

O valor dessa "exibição centralizada" não reside apenas em ter informações mais abrangentes, mas, mais crucialmente, em vincular "novas capacidades" com "verificabilidade" no mesmo ponto de entrada: à medida que o setor de wallets se move cada vez mais para arquiteturas complexas como AA e MPC, o que os usuários mais precisam não é apenas uma declaração dizendo "somos muito seguros", mas evidências que podem ser rapidamente verificadas.

Além disso, de acordo com a OKX Wallet, após esta atualização, novos relatórios de auditoria e informações relacionadas podem ser atualizados diretamente via configuração sem a necessidade de uma nova versão. Se este mecanismo puder operar estavelmente a longo prazo, ele encurta efetivamente o caminho "verificável externamente", economizando não apenas custos de desenvolvimento e lançamento.

Para os usuários, isso significa que quando uma auditoria é adicionada ou concluída, a entrada pública pode refletir mais rapidamente o "status mais recente", reduzindo a incerteza. Para observadores terceiros, é mais fácil formar uma linha do tempo rastreável. Isso transforma o "endosso de terceiros" em uma cadeia de evidências continuamente auditável, em vez de uma exibição única de um PDF.

Este artigo é uma submissão contribuída e não representa as opiniões da BlockBeats.