Cosa la trading key può e non può fare

Alla registrazione il wizard broadcasta MsgAddAuthenticator con un albero composer così: AllOf [ SignatureVerification(trading-key-pubkey), AnyOf [MsgPlaceOrder, MsgCancelOrder, MsgBatchCancel], SubaccountFilter('0'), AnyOf [ClobPairIdFilter(ETH), ClobPairIdFilter(SOL), ClobPairIdFilter(BNB)] ].

Ogni transazione che la trading key firma deve soddisfare TUTTE e quattro le clausole. La chain rifiuta qualsiasi cosa che ne fallisca anche una — atomicamente, prima di ogni cambio di stato.

Aprire e chiudere posizioni perp solo su ETH-USD, SOL-USD, BNB-USD. L'attaccante potrebbe tradeare contro di te (aprire posizioni, chiuderle a prezzi sfavorevoli) per drenare valore via brutti trade — ma lentamente, posizione per posizione, e solo su quei tre mercati.

Cancellare ordini pendenti. Lievemente fastidioso ma reversibile (ri-piazzi l'ordine).

Trasferire fondi fuori dal subaccount: bloccato. La trading key non è nell'AnyOf MessageFilter per MsgTransfer né MsgWithdrawFromSubaccount.

Tradeare su mercati diversi da ETH/SOL/BNB: bloccato dal ClobPairIdFilter. Incluso BTC, LINK, AVAX, qualsiasi altro.

Tradeare su subaccount diversi da 0: bloccato dal SubaccountFilter. Subaccount 1, 2, 3+ restano irraggiungibili.

Modificare l'authenticator, registrarne nuovi, rimuovere quelli esistenti, cambiare settings dell'account, governance, staking: tutti bloccati. Nessuno in whitelist.

Se un server malevolo ruba la trading key, il danno peggiore sono brutti trade su tre mercati — non furto dei fondi. Tu revochi la key on-chain (con una firma Keplr dall'owner wallet, non dalla trading key), generi una nuova, e torni a stato pulito. Nessun fondo esce dal subaccount durante tutto questo.

Se trapela la tua owner mnemonic, è un problema diverso e peggiore — vedi il runbook wallet-compromise. Ma i leak di trading key sono categoricamente meno gravi.