資產安全：如何避免鏈上資金被盜

隨着去中心化金融和非同質化代幣等區塊鏈應用的普及，用戶資產逐漸從傳統中心化渠道轉移到去中心化錢包、跨鏈橋和借貸產品等平台。然而，鏈上項目和用戶資產被盜事件頻發，使得區塊鏈被戲稱爲"黑客提款機"。

這些安全事故有些源於代碼漏洞，但也有不少是人爲因素導致的。比如近期某加密做市商就因操作失誤損失了1.6億美元。

巨額資產損失源於簡單人爲錯誤

事發後，該做市商表示其中心化金融和場外交易業務未受影響，償付能力仍是剩餘股本的兩倍。對於與其有做市協議的用戶，資金安全有保障。在被黑客入侵的90項資產中，僅兩項價值超過100萬美元，因此不太可能引發大規模拋售。

安全公司分析發現，黑客地址與Tornado Cash和某些交易所提幣操作有關。被盜資金中約73%是穩定幣，8%是WBTC，6%是ETH。攻擊者將1.14億美元存入某項目做流動性提供。

事後調查顯示，被盜原因可能是使用了存在漏洞的地址生成工具。該做市商承認曾使用這類工具來優化手續費，而非創建靚號地址。盡管上周得知工具存在漏洞後開始棄用舊密鑰，但由於內部錯誤調用了錯誤的函數，未能及時刪除受影響地址的籤名權限。

對於被盜資金，該做市商表示願意支付10%賞金用於追回。雖然此次事故由內部人爲失誤造成，但公司不會因此解僱員工、改變策略或暫停相關業務。

然而，鏈上數據顯示該做市商對多個交易對手的去中心化金融債務超過2億美元，其中最大一筆是將於10月到期的9200萬美元穩定幣貸款。如果被盜資金無法及時追回，該公司可能面臨債務危機。

再次因人爲失誤遭受損失

事實上，這已經不是該做市商第一次因人爲因素遭受損失。今年6月，其受邀爲某Layer項目提供流動性時，就因操作失誤丟失了2000萬枚代幣。

當時，該Layer項目基金會向做市商分配了2000萬枚代幣用於提供流動性。做市商提供了一個以太坊主網的多重籤名地址來接收代幣。但由於這個地址尚未部署到Layer網路，導致做市商無法訪問這些代幣。

在做市商試圖恢復操作時，攻擊者搶先一步將多重籤名合約部署到Layer網路並控制了這2000萬枚代幣。所幸次日黑客退回了1700萬枚代幣，剩餘損失由做市商承擔。

個人用戶如何規避資產被盜風險

鑑於機構頻繁因人爲失誤造成巨額損失，個人用戶更需謹慎保護自身資產安全。以下是幾點建議：

1. 僅使用原生加密錢包創建地址，避免使用第三方工具。第三方工具可能存在安全隱患，容易被監控或攻擊。

2. 對主要資產錢包採用多重籤名。雖然不適用於高頻交易，但對普通用戶來說可以最大程度規避人爲失誤風險。

3. 切勿復制粘貼保存私鑰。許多設備和應用可能獲取剪貼板內容，增加泄露風險。即使暫時安全，也可能在資產增加後遭到攻擊。

4. 鏈上操作時仔細檢查授權的合約和資產。驗證網站域名和智能合約地址的真實性，防止授權給惡意合約。

5. 合理設置授權額度並及時撤銷不必要的授權。避免無限制授權，使用後及時撤銷訪問權限，降低潛在風險。

安全無小事，尤其在區塊鏈資產難以追回且法律保護有限的情況下。用戶在鏈上操作時應格外謹慎，採取多重防護措施，最大限度保障資產安全。