区块链安全事件频发，如何保护个人资产？

近年来，随着去中心化金融(DeFi)和非同质化代币(NFT)等链上产品的兴起，用户资产逐渐从中心化平台转移到去中心化钱包、跨链桥和借贷协议等。然而，链上项目和用户资产被盗事件频频发生，使得区块链被戏称为"黑客提款机"。

这些安全事件中，有些源于代码漏洞，有些则是人为疏忽所致。例如，2022年9月20日，某加密做市商遭遇1.6亿美元的资金被盗事件。

人为失误导致巨额损失

事件发生后，该做市商创始人在社交媒体上表示，公司的中心化金融和场外交易业务未受影响，偿付能力仍为剩余股本的两倍。他强调，与公司有做市协议的用户资金安全。在被盗的90项资产中，仅有两项的名义价值超过100万美元，因此不太可能引发大规模抛售。

安全公司分析发现，黑客地址与某匿名交易平台和主流交易所有关联。被盗资金中约73%为稳定币，8%为WBTC，6%为ETH。攻击者将1.14亿美元存入某去中心化交易所做流动性提供。

安全专家推测，被盗原因可能是该做市商使用了存在漏洞的第三方工具创建钱包地址。公司创始人后来承认，他们确实在6月份使用了这类工具来创建钱包，目的是优化手续费。虽然公司在得知工具存在漏洞后采取了应对措施，但由于内部操作失误，未能及时删除受影响地址的签名权限。

对于资金追回，公司表示愿意向黑客提供10%的赏金，约1600万美元。尽管此次事件由内部人为失误导致，但公司表示不会解雇员工、改变策略或停止DeFi业务。

然而，链上数据显示该公司对多个交易对手的DeFi债务超过2亿美元，其中最大一笔是将于10月到期的9200万美元USDT贷款。如果被盗资金无法及时追回，公司可能面临债务危机。

再次因人为因素遭受损失

值得注意的是，这并非该做市商首次因人为因素遭受损失。2022年6月，在为某Layer 2项目提供流动性服务时，由于地址管理失误，导致2000万枚代币被盗。

当时，该Layer 2项目基金会邀请做市商提供流动性服务，并分配了2000万枚代币作为临时赠款。然而，做市商提供的接收地址是以太坊主网上的多重签名地址，而非Layer 2网络上的地址。这导致做市商无法访问这些代币，黑客趁机部署了自己的多重签名合约并控制了这些代币。

所幸黑客后来退回了大部分代币，做市商承诺偿还剩余部分。

个人资产保护建议

鉴于机构频频因人为失误造成巨额损失，个人用户更应注意资产安全。以下是几点建议：

1. 避免使用第三方工具创建钱包：第三方工具可能存在安全隐患，应坚持使用原生加密钱包。

2. 考虑使用多重签名：对于存放大额资产的钱包，多重签名可以有效降低风险。

3. 谨慎处理私钥：不要复制粘贴保存私钥，因为设备上的第三方应用可能有权限访问剪贴板。

4. 仔细检查授权操作：使用DeFi产品时，务必核实网站域名和智能合约地址的真实性。

5. 合理管理授权额度：尽量避免无限制授权，使用后及时撤销不必要的授权。可以通过区块浏览器的token approval checker功能管理授权。

在区块链世界，安全至关重要。由于链上资产被盗后难以追回且往往不受法律保护，用户在进行链上操作时应格外谨慎，尽最大可能保护自身资产安全。