鏈上資產安全：如何避免人爲失誤導致的巨額損失

隨着去中心化金融和NFT等區塊鏈應用的興起，用戶資產逐漸從中心化平台向去中心化錢包、跨鏈橋和借貸產品等鏈上服務轉移。然而，這一趨勢也伴隨着頻繁的黑客攻擊和資產被盜事件，使得區塊鏈網路常被戲稱爲"黑客提款機"。

這些安全事件中，有相當一部分是由代碼漏洞引起的，但也有不少是人爲因素造成的。9月20日，某知名加密做市商遭遇1.6億美元的資產被盜，就是一個典型的人爲失誤案例。

1.6億美元損失源於Gas費優化失誤

事發後，該做市商的創始人在社交媒體上表示，公司的中心化交易和場外交易業務未受影響，剩餘資本仍是債務的兩倍。他還強調，與公司有做市協議的用戶資金安全。在被攻擊的90種資產中，只有兩種的名義價值超過100萬美元，因此不太可能出現大規模拋售。

區塊鏈安全公司Salus Security迅速定位到了黑客的地址。該地址的資金來源包括某匿名混幣工具和多個交易平台的大額提現。

據某區塊鏈數據分析平台顯示，被盜的1.6億美元中約73%是穩定幣，8%是WBTC，6%是ETH。攻擊者將1.14億美元存入某去中心化交易所做流動性提供，成爲該平台第三大流動性提供者。

安全公司慢霧分析認爲，被盜原因可能是使用了Profanity工具創建的靚號錢包（地址以0x0000000開頭）。

第二天，該做市商創始人確認他們曾在6月使用Profanity和內部工具創建錢包地址，目的是優化Gas費用而非追求靚號。上周得知Profanity存在漏洞後，公司加速棄用舊密鑰，但由於內部操作失誤，調用了錯誤的函數，導致未能刪除受影響地址的籤名和執行權限。

對於被盜資金的追回，創始人表示如果全額歸還，將向黑客支付10%即1600萬美元的賞金。

關於後續運營，創始人強調雖然此次漏洞源於內部人爲失誤，但公司不會解僱員工、改變策略、籌集額外資金或停止DeFi業務。

然而，鏈上數據顯示該公司對幾個交易對手的DeFi債務超過2億美元。其中最大一筆是將於10月15日到期的9200萬美元USDT貸款，此外還有7500萬美元和2240萬美元的其他債務。

如果被盜資金無法及時追回，該公司可能面臨債務危機風險。

歷史重演：曾因人爲失誤損失2000萬代幣

值得注意的是，這已經不是該做市商第一次因人爲失誤遭受損失。今年6月9日，在爲某Layer項目提供代幣流動性服務時，也因操作失誤導致2000萬枚代幣被盜。

當時，該Layer項目邀請這家做市商爲其新發行的代幣提供流動性。項目方向做市商提供了2000萬枚代幣的臨時贈款。做市商給出了一個以太坊主網上的多簽錢包地址來接收代幣。項目方在進行兩筆測試交易並得到確認後，發送了剩餘的代幣。

然而，做市商提供的是以太坊主網的多簽地址，而該地址尚未部署到Layer網路。由於控制主網多籤並不能保證控制其他EVM兼容鏈，導致做市商後來發現無法訪問這些代幣。

做市商隨後開始恢復操作，試圖將L1多籤合約部署到L2上的同一地址。但在此過程完成前，攻擊者搶先一步將多籤部署到L2並控制了這2000萬枚代幣。攻擊者隨後售出了100萬枚代幣。

所幸第二天黑客退還了1700萬枚代幣，做市商承諾償還剩餘的200萬枚。

個人資產安全防護建議

鑑於機構頻頻因人爲失誤造成巨額損失，普通用戶在保護個人資產時需要格外謹慎。以下是幾點重要建議：

1. 避免使用第三方工具創建錢包

除了原生加密錢包，不要使用其他第三方工具創建錢包。第三方工具可能存在監控用戶記錄和低成本作惡的風險。例如，某DEX聚合器曾警告使用Profanity創建的以太坊地址存在安全漏洞，可能導致資產被盜。

2. 考慮爲主要錢包啓用多重籤名

雖然多重籤名可能不適用於高頻交易，但對於存儲大量資產的主要錢包來說，啓用多重籤名可以有效降低人爲失誤造成的損失風險。

3. 切勿復制粘貼保存私鑰

私鑰的復雜性容易誘使用戶採用復制粘貼的方式保存。然而，設備上的許多第三方應用或插件可能有權限訪問剪貼板，無線網路的安全性也難以保證。即使暫時沒有遭遇攻擊，也可能是黑客在等待更多資產入帳後再實施盜竊。

4. 鏈上操作時仔細檢查授權的合約和資產

在使用DeFi產品時，務必核實網站域名和區塊瀏覽器上的合約地址是否爲官方版本。這可以避免因操作被黑的前端或釣魚網站而授權惡意合約。

5. 控制授權額度並及時撤銷不必要的授權

雖然無限制授權可能更方便，但這增加了潛在風險。建議根據實際使用需求設置授權額度。對於不再使用的產品，應立即撤銷其訪問資產的授權。

各大區塊瀏覽器通常都提供撤銷授權的功能入口，用戶可以定期檢查並清理不必要的授權。

區塊鏈資產一旦被盜往往難以追回，且在許多情況下可能不受法律保護。因此，用戶在進行鏈上操作時必須保持高度警惕，採取一切可能的措施來保護自己的資產安全。