區塊鏈安全事件頻發，如何保護個人資產？

近年來，隨着去中心化金融(DeFi)和非同質化代幣(NFT)等鏈上產品的興起，用戶資產逐漸從中心化平台轉移到去中心化錢包、跨鏈橋和借貸協議等。然而，鏈上項目和用戶資產被盜事件頻頻發生，使得區塊鏈被戲稱爲"黑客提款機"。

這些安全事件中，有些源於代碼漏洞，有些則是人爲疏忽所致。例如，2022年9月20日，某加密做市商遭遇1.6億美元的資金被盜事件。

人爲失誤導致巨額損失

事件發生後，該做市商創始人在社交媒體上表示，公司的中心化金融和場外交易業務未受影響，償付能力仍爲剩餘股本的兩倍。他強調，與公司有做市協議的用戶資金安全。在被盜的90項資產中，僅有兩項的名義價值超過100萬美元，因此不太可能引發大規模拋售。

安全公司分析發現，黑客地址與某匿名交易平台和主流交易所有關聯。被盜資金中約73%爲穩定幣，8%爲WBTC，6%爲ETH。攻擊者將1.14億美元存入某去中心化交易所做流動性提供。

安全專家推測，被盜原因可能是該做市商使用了存在漏洞的第三方工具創建錢包地址。公司創始人後來承認，他們確實在6月份使用了這類工具來創建錢包，目的是優化手續費。雖然公司在得知工具存在漏洞後採取了應對措施，但由於內部操作失誤，未能及時刪除受影響地址的籤名權限。

對於資金追回，公司表示願意向黑客提供10%的賞金，約1600萬美元。盡管此次事件由內部人爲失誤導致，但公司表示不會解僱員工、改變策略或停止DeFi業務。

然而，鏈上數據顯示該公司對多個交易對手的DeFi債務超過2億美元，其中最大一筆是將於10月到期的9200萬美元USDT貸款。如果被盜資金無法及時追回，公司可能面臨債務危機。

再次因人爲因素遭受損失

值得注意的是，這並非該做市商首次因人爲因素遭受損失。2022年6月，在爲某Layer項目提供流動性服務時，由於地址管理失誤，導致2000萬枚代幣被盜。

當時，該Layer項目基金會邀請做市商提供流動性服務，並分配了2000萬枚代幣作爲臨時贈款。然而，做市商提供的接收地址是以太坊主網上的多重籤名地址，而非Layer網路上的地址。這導致做市商無法訪問這些代幣，黑客趁機部署了自己的多重籤名合約並控制了這些代幣。

所幸黑客後來退回了大部分代幣，做市商承諾償還剩餘部分。

個人資產保護建議

鑑於機構頻頻因人爲失誤造成巨額損失，個人用戶更應注意資產安全。以下是幾點建議：

1. 避免使用第三方工具創建錢包：第三方工具可能存在安全隱患，應堅持使用原生加密錢包。

2. 考慮使用多重籤名：對於存放大額資產的錢包，多重籤名可以有效降低風險。

3. 謹慎處理私鑰：不要復制粘貼保存私鑰，因爲設備上的第三方應用可能有權限訪問剪貼板。

4. 仔細檢查授權操作：使用DeFi產品時，務必核實網站域名和智能合約地址的真實性。

5. 合理管理授權額度：盡量避免無限制授權，使用後及時撤銷不必要的授權。可以通過區塊瀏覽器的token approval checker功能管理授權。

在區塊鏈世界，安全至關重要。由於鏈上資產被盜後難以追回且往往不受法律保護，用戶在進行鏈上操作時應格外謹慎，盡最大可能保護自身資產安全。