AI Traders
Начать
← Назад в базу знаний

Безопасность и стоп-кран

forge построен так, что даже худший сценарий «нас взломали» не может вывести ваши средства — агентские кошельки протокольно не имеют прав вывода. Но это не значит, что про безопасность можно забыть. Эта статья — про практические меры.

Защита на уровне платформы

Каждая стратегия = свой агентский кошелёк. Если одна стратегия пошла не так, остальные не пострадают. Изоляция полная: разные адреса агентов, разные лимиты капитала, разные журналы решений.

Лимит Builder-комиссии. Подписываете максимум 0,05% — выше биржа не пропустит. Никаких «обновлений», которые внезапно поднимут комиссию.

Дневной лимит убытков. На каждой стратегии можно поставить лимит на дневной убыток. По умолчанию 5%. Если стратегия теряет больше — паузится до следующего дня. Это защита от каскадного убытка в один день.

Total exposure cap. Сумма всех открытых позиций по всем стратегиям не может превысить настраиваемый лимит. Защита от случайного перебора, когда стратегии независимо набирают позиции в один тренд.

Оценка Бриера и контроль моделей. Каждая модель ансамбля мониторится на калибровку. Если она «сломалась» (оценка Бриера > 0,25 на скользящем 14-дневном окне) — автоматически выпадает из ансамбля до восстановления.

Стоп-кран

Главная страховка на случай «что-то идёт сильно не так».

Где находится. /settings → красная кнопка Halt all strategies внизу страницы.

Что делает. Мгновенно паузит ВСЕ стратегии на всех агентских кошельках. Новые ордера блокируются. Существующие позиции остаются открытыми.

Что не делает. Не закрывает позиции — это сознательно. Закрытие позиций может зафиксировать убыток. Решение оставить или закрыть — за вами, через app.hyperliquid.xyz.

Сколько после этого пауза. Бессрочно — пока вы вручную не возобновите стратегии в /settings. Это не «час и продолжаем», а полное замораживание.

Backup и восстановление ключей

Если у вас встроенный кошелёк от Privy:

  • Бэкап делается автоматически Privy
  • Восстановление — через email-OTP
  • Можно экспортировать сид-фразу и хранить отдельно (рекомендуется)

Если у вас внешний кошелёк (MetaMask, Rabby и т.д.):

  • Бэкап сид-фразы — ваша ответственность
  • forge не имеет доступа к вашей основной сид-фразе
  • При потере сид-фразы восстановления нет — это не наша система

Что хранить в безопасном месте:

  • Сид-фраза основного кошелька (12 или 24 слова)
  • Список адресов агентов (для возможного восстановления)
  • Email, через который заходили в forge

Что делать при компрометации

Если кажется, что основной кошелёк скомпрометирован:

  1. Немедленно нажмите стоп-кран на forge
  2. На Hyperliquid → отозвите ВСЕ агентов (forge и любые другие)
  3. Если есть USDC на HL — вытащите через HL bridge на свежий кошелёк
  4. Не используйте старую сид-фразу после этого

Если кажется, что взломан конкретный агент forge:

  1. На Hyperliquid → отозовите этого конкретного агента
  2. В forge → /settings → удалить стратегию, привязанную к этому агенту
  3. Напишите security@forge.trade
  4. Создайте нового агента для замены, если стратегию хотите продолжить

Если что-то подозрительное в журнале решений:

  1. Сделайте скриншот
  2. Напишите security@forge.trade с tx-hash подозрительной сделки
  3. Не отзывайте агента сразу — нам понадобится воспроизвести ситуацию

Responsible disclosure

Если вы нашли уязвимость в forge:

  • Напишите security@forge.trade
  • PGP-ключ доступен на /.well-known/security.txt
  • Не публикуйте PoC в открытых каналах до согласования
  • Bug bounty запустится с публичной бетой; до этого — публичная благодарность в changelog + долгосрочные кредиты на подписку

Связанное

Не нашли ответ?

Связаться с командой