區塊鏈資產安全：從重大盜竊案例看個人資產保護

隨着DeFi和NFT等鏈上產品的興起，用戶資產逐漸從中心化渠道轉移到去中心化的錢包、跨鏈橋和借貸產品中。然而，鏈上項目和用戶資產被盜事件頻發，使得區塊鏈常被戲稱爲黑客的"提款機"。這些盜竊案件既有代碼漏洞導致，也有人爲因素造成。

Wintermute遭遇1.6億美元盜竊案

9月20日，某加密做市商遭遇了1.6億美元的資產盜竊。該公司創始人隨後表示，公司的中心化金融和場外交易業務未受影響，償付能力仍是剩餘股本的兩倍。在被盜的90項資產中，僅有兩項的名義價值超過100萬美元，因此不太可能引發大規模拋售。

區塊鏈安全公司很快鎖定了黑客地址，發現其資金來源包括某匿名混幣工具和大型交易所的提幣操作。被盜資產中約73%是穩定幣，8%是WBTC，6%是ETH。攻擊者將1.14億美元存入某去中心化交易所做流動性提供。

專業分析指出，此次被盜可能源於受害公司使用了存在漏洞的靚號錢包生成工具。公司創始人承認，他們確實在6月份使用了該工具和內部工具來創建錢包地址，目的是優化手續費。盡管在得知工具存在漏洞後採取了措施，但由於內部操作失誤，未能完全清除受影響地址。

爲追回被盜資金，該公司表示願意向黑客提供10%的賞金，即1600萬美元。盡管此次事件由內部人爲錯誤引發，公司表示不會解僱員工、改變策略、籌集額外資金或停止DeFi業務。

然而，鏈上數據顯示該公司對多個交易對手的DeFi債務超過2億美元，包括一筆9200萬美元的USDT貸款將於10月到期。如果被盜資金無法及時追回，公司可能面臨債務危機。

早前的2000萬OP代幣盜竊案

這並非該公司首次因人爲因素遭受資產損失。2022年6月，在爲某Layer項目提供流動性服務時，公司因操作失誤導致2000萬枚代幣被盜。

事件起因是公司提供了以太坊主網的多重籤名地址，而非Layer網路上的地址。由於多重籤名合約的特性，公司無法直接訪問Layer上的代幣。在公司試圖修復這一問題時，攻擊者搶先一步部署了惡意合約並控制了這些代幣。

所幸黑客最終歸還了大部分被盜代幣，公司也承諾補償剩餘損失。

個人資產保護指南

鑑於機構頻頻因人爲失誤造成巨額損失，個人用戶更應謹慎保護自己的資產。以下是幾點建議：

1. 避免使用第三方工具創建錢包，堅持使用原生加密錢包。第三方工具可能存在安全隱患，容易被監控或利用。

2. 對主要資產錢包使用多重籤名。雖然可能不適用於高頻交易，但對大多數用戶來說，多重籤名可以有效降低資產被盜風險。

3. 不要復制粘貼保存私鑰。許多設備和應用可能有權限查看剪貼板內容，無線網路也存在安全風險。即使暫時安全，也可能被黑客盯上等待時機。

4. 鏈上操作時仔細檢查授權的合約和資產。確認網站域名和智能合約地址的真實性，防止授權給惡意合約。

5. 限制授權資產數額並及時撤銷不必要的授權。盡量按需授權，使用後立即撤銷，以減少潛在風險。可通過區塊瀏覽器的授權檢查工具管理授權。

在區塊鏈世界，安全至關重要。被盜資產難以追回且往往不受法律保護，因此用戶在進行鏈上操作時務必保持警惕，採取一切可能的措施保護自己的資產安全。