Runbook compromissione wallet

Un indicatore di compromissione sono transazioni non autorizzate che non hai iniziato tu (visibili su dydx.trade o nel block explorer). Pop-up random su un sito NON sono indicatori — quelli sono tentativi di phishing.

Se vedi davvero attività non autorizzata, assumi il peggio e agisci veloce. Se non sei sicuro, fai screenshot e rivedi a mente fresca — la maggior parte degli 'alert compromissione' sono scare phishing.

Genera una mnemonic nuova di zecca su un device pulito (idealmente Keplr fresco su un computer diverso, o un hardware wallet mai connesso). NON usare la Keplr del wallet compromesso per settare il nuovo — l'attaccante potrebbe già avere il seed.

Dal wallet compromesso (hai ancora le chiavi finché l'attaccante non le usa), manda via tutti i fondi: withdraw USDC dal subaccount 0 → bank, poi manda bank USDC + DYDX all'indirizzo del nuovo wallet. La velocità conta.

Una volta che i fondi sono nel nuovo wallet, il wallet compromesso non ha più nulla da rubare. Ma l'authenticator on-chain (Botely trading key) è ancora registrato contro il vecchio owner. Non importa per la sicurezza dei fondi, ma è igiene.

Revoca da /app/settings → bottone "Revoke", poi esegui `dydxprotocold tx accountplus remove-authenticator <id> --from <old-owner-keyname>` da CLI per rimuovere anche on-chain. La fee è pagata dal vecchio owner — va bene.

Aggiorna Botely per puntare al nuovo owner address: in /app/settings il wizard ora usa il tuo nuovo account Keplr. Rilancia il wizard per registrare una nuova trading key legata al nuovo owner.

Aggiorna il .env del bot (Phase 0) o aspetta il pickup automatico Phase 1. Restart del bot.

Aggiorna DYDX_ADDRESS nel .env del bot se era hardcoded al vecchio indirizzo.

Dove è avvenuto il leak? Vettori comuni: (a) seed digitato in un sito Keplr clone falso, (b) seed fotografato e salvato in cloud (Google Drive, iCloud, GitHub Gist), (c) malware sul device che gira Keplr, (d) accesso fisico al seed scritto.

Qualunque sia stata la causa, non ripeterlo. Per wallet ad alto valore, passa a un hardware wallet — il seed non lascia mai il secure element del device. Vedi la guida mnemonic-best-practices.