區塊鏈資產安全引發關注，頻繁被盜事件暴露多重風險

隨着去中心化金融和非同質化代幣等鏈上產品的興起，用戶資產逐漸從傳統中心化渠道轉向去中心化錢包、跨鏈橋和借貸平台等。然而，鏈上頻繁發生的項目和用戶資產被盜事件引發了廣泛關注，甚至有人戲稱區塊鏈成爲了黑客的"提款機"。

這些安全事件的原因多種多樣，既有代碼層面的漏洞，也有人爲因素導致的失誤。一個典型案例是9月20日加密做市商Wintermute遭遇的1.6億美元被盜事件。

人爲失誤導致巨額資產損失

Wintermute創始人在事件發生後表示，公司的中心化金融和場外交易業務未受影響，償付能力仍爲剩餘股本的兩倍。他reassured用戶，如果與Wintermute有做市協議，資金是安全的。在被黑客入侵的90項資產中，僅有兩項的名義價值超過100萬美元，因此不太可能出現大規模拋售。

區塊鏈安全公司Salus Security迅速定位到了黑客地址，發現其資金來源包括某匿名混幣工具和從某些交易平台大量提幣的獨立錢包。該地址還與疑似Wintermute用戶地址有關聯，並與某知名交易所的官方合約存在資金流出操作。

根據鏈上數據分析，Wintermute被盜的1.6億美元中約73%是穩定幣，8%是WBTC，6%是ETH。攻擊者將1.14億美元存入某去中心化交易所做流動性提供，成爲該平台第三大LP。

安全公司慢霧分析認爲，被盜原因可能是Wintermute使用了存在漏洞的靚號錢包生成工具。Wintermute創始人隨後證實，公司確實在6月份使用了該工具來創建錢包地址，目的是優化手續費而非創建靚號。盡管上周得知該工具存在漏洞後開始棄用舊密鑰，但由於內部人爲失誤調用了錯誤的函數，導致未能及時刪除受影響地址的籤名權限。

對於被盜資金的追回，Wintermute表示願意向黑客提供10%的賞金，約合1600萬美元。公司強調此次事件不會影響其正常運營，不會解僱員工、改變策略、籌集額外資金或停止DeFi業務。

然而，鏈上數據顯示Wintermute目前對多個交易對手的DeFi債務超過2億美元，其中最大一筆是將於10月到期的9200萬美元USDT貸款。如果被盜資金無法及時追回，Wintermute可能面臨債務危機風險。

Wintermute曾因人爲失誤遭受損失

值得注意的是，這已經不是Wintermute首次因人爲因素遭受損失。今年6月，公司在爲某Layer項目提供流動性服務時，由於地址錯誤導致2000萬枚代幣被盜。

當時Wintermute受邀爲該項目提供流動性，基金會向其分配了2000萬枚代幣的臨時贈款。然而，Wintermute提供的接收地址是以太坊主網上的多簽地址，而非Layer網路上的地址。這導致Wintermute無法訪問這些代幣，攻擊者搶先一步將多籤合約部署到Layer並控制了這些代幣。

所幸黑客最終退回了1700萬枚代幣，Wintermute承諾償還剩餘200萬枚。這一事件再次凸顯了人爲操作失誤可能造成的嚴重後果。

個人用戶如何規避資產被盜風險

鑑於機構頻繁因人爲失誤遭受巨額損失，個人用戶更需謹慎保護自己的資產安全。以下是幾點建議：

1. 避免使用第三方工具創建錢包：第三方工具存在監控用戶記錄和低成本作惡的風險，應堅持使用官方原生錢包。

2. 考慮對主要錢包實施多重籤名：雖然不適用於高頻交易，但對普通用戶來說多重籤名可以有效規避人爲失誤風險。

3. 切勿復制粘貼保存私鑰：許多設備上的第三方應用具有讀取剪貼板的權限，復制粘貼私鑰存在極大風險。

4. 鏈上操作時仔細檢查授權合約：謹防釣魚網站或被黑的前端頁面，務必核實網站域名和智能合約地址的真實性。

5. 限制授權額度並及時撤銷不必要的授權：避免無限制授權，僅授權所需數額，使用完畢後及時撤銷授權。

安全無小事，尤其是在區塊鏈領域，資產被盜後難以追回且往往不受法律保護。因此，用戶在進行鏈上操作時應當格外謹慎，採取一切可能的措施來保護自己的數字資產安全。