链上资产安全引发关注，加密市场频现巨额盗窃案

随着去中心化金融(DeFi)和非同质化代币(NFT)等链上产品的兴起，用户资产正逐步从传统中心化渠道转移至去中心化钱包、跨链桥和借贷平台等。然而,这一趋势也带来了新的安全隐患,链上项目和用户资产被盗事件频发,以至于社区常戏称区块链是黑客的"提款机"。

这些盗窃案件中,既有源于代码漏洞的技术性问题,也有不少是人为疏忽造成的。9月20日,加密货币做市商Wintermute就因人为失误遭遇1.6亿美元的巨额损失。

一次代价高昂的人为失误

遭遇攻击后,该公司创始人在社交媒体上表示,公司的中心化金融和场外交易业务未受影响,剩余资本仍是债务的两倍,与Wintermute有做市协议的客户资金安全。在被黑客入侵的90种资产中,仅有两种名义价值超过100万美元,因此不太可能出现大规模抛售。公司正在迅速与受影响方沟通。

区块链安全公司Salus Security迅速锁定了黑客地址。该地址资金来源包括混币服务和多个交易所的大额提现。安全公司分析认为,攻击可能与Wintermute使用靓号工具Profanity创建EOA钱包有关。

Wintermute创始人随后承认,公司确实曾在6月使用Profanity和内部工具创建钱包地址,目的是优化手续费而非获取靓号。上周得知Profanity存在漏洞后,公司加速弃用旧密钥,但由于内部错误调用了错误函数,未能及时删除受影响地址的签名权限。

对于被盗资金,创始人表示如全额归还将给予10%即1600万美元的赏金。他强调此次攻击仅影响用于链上DeFi交易的以太坊保管库,公司不会因此裁员、改变策略、筹资或停止DeFi业务。

然而,链上数据显示Wintermute对多个交易对手的DeFi债务超2亿美元,其中最大一笔是10月到期的9200万美元USDT贷款。如被盗资金无法及时追回,公司或面临债务危机风险。

Wintermute曾因人为失误损失2000万代币

事实上,这已不是Wintermute首次因人为因素遭受损失。今年6月,公司在为某公链代币提供流动性服务时,就曾因操作失误损失2000万枚代币。

当时Wintermute受邀为该公链代币提供流动性,获得2000万枚代币临时赠款。但公司提供的接收地址是以太坊主网的多重签名地址,未在目标链部署。由于无法直接控制跨链资产,Wintermute试图将多签合约部署到目标链同一地址,但被攻击者抢先一步。

所幸黑客随后退回了1700万枚代币,Wintermute承诺偿还剩余200万枚。这一事件再次凸显了跨链操作的复杂性和风险。

个人用户如何规避资产被盗风险

机构频频因人为失误遭受巨额损失,作为个人用户我们应如何保护自身资产安全?以下是几点建议:

1. 避免使用第三方工具创建钱包。此类工具可能存在安全漏洞,且易被恶意监控。应坚持使用原生加密钱包。

2. 对主要资产钱包使用多重签名。虽然不适用于高频交易,但对大多数用户来说是有效的安全措施。

3. 切勿复制粘贴保存私钥。许多设备和应用可能窃取剪贴板内容,导致私钥泄露。

4. 授权操作时仔细核对合约地址。防范钓鱼网站和被黑前端。

5. 限制授权金额并及时撤销闲置授权。无限制授权可能带来潜在风险,使用后应及时撤销。

区块链资产一旦被盗难以追回且往往不受法律保护。用户应时刻保持警惕,采取必要措施保护自身资产安全。在进行链上操作时更要谨慎行事,将风险降到最低。