链上资产安全：如何避免人为失误导致的巨额损失

随着去中心化金融和NFT等区块链应用的兴起，用户资产逐渐从中心化平台向去中心化钱包、跨链桥和借贷产品等链上服务转移。然而，这一趋势也伴随着频繁的黑客攻击和资产被盗事件，使得区块链网络常被戏称为"黑客提款机"。

这些安全事件中，有相当一部分是由代码漏洞引起的，但也有不少是人为因素造成的。9月20日，某知名加密做市商遭遇1.6亿美元的资产被盗，就是一个典型的人为失误案例。

1.6亿美元损失源于Gas费优化失误

事发后，该做市商的创始人在社交媒体上表示，公司的中心化交易和场外交易业务未受影响，剩余资本仍是债务的两倍。他还强调，与公司有做市协议的用户资金安全。在被攻击的90种资产中，只有两种的名义价值超过100万美元，因此不太可能出现大规模抛售。

区块链安全公司Salus Security迅速定位到了黑客的地址。该地址的资金来源包括某匿名混币工具和多个交易平台的大额提现。

据某区块链数据分析平台显示，被盗的1.6亿美元中约73%是稳定币，8%是WBTC，6%是ETH。攻击者将1.14亿美元存入某去中心化交易所做流动性提供，成为该平台第三大流动性提供者。

安全公司慢雾分析认为，被盗原因可能是使用了Profanity工具创建的靓号钱包（地址以0x0000000开头）。

第二天，该做市商创始人确认他们曾在6月使用Profanity和内部工具创建钱包地址，目的是优化Gas费用而非追求靓号。上周得知Profanity存在漏洞后，公司加速弃用旧密钥，但由于内部操作失误，调用了错误的函数，导致未能删除受影响地址的签名和执行权限。

对于被盗资金的追回，创始人表示如果全额归还，将向黑客支付10%即1600万美元的赏金。

关于后续运营，创始人强调虽然此次漏洞源于内部人为失误，但公司不会解雇员工、改变策略、筹集额外资金或停止DeFi业务。

然而，链上数据显示该公司对几个交易对手的DeFi债务超过2亿美元。其中最大一笔是将于10月15日到期的9200万美元USDT贷款，此外还有7500万美元和2240万美元的其他债务。

如果被盗资金无法及时追回，该公司可能面临债务危机风险。

历史重演：曾因人为失误损失2000万代币

值得注意的是，这已经不是该做市商第一次因人为失误遭受损失。今年6月9日，在为某Layer 2项目提供代币流动性服务时，也因操作失误导致2000万枚代币被盗。

当时，该Layer 2项目邀请这家做市商为其新发行的代币提供流动性。项目方向做市商提供了2000万枚代币的临时赠款。做市商给出了一个以太坊主网上的多签钱包地址来接收代币。项目方在进行两笔测试交易并得到确认后，发送了剩余的代币。

然而，做市商提供的是以太坊主网的多签地址，而该地址尚未部署到Layer 2网络。由于控制主网多签并不能保证控制其他EVM兼容链，导致做市商后来发现无法访问这些代币。

做市商随后开始恢复操作，试图将L1多签合约部署到L2上的同一地址。但在此过程完成前，攻击者抢先一步将多签部署到L2并控制了这2000万枚代币。攻击者随后售出了100万枚代币。

所幸第二天黑客退还了1700万枚代币，做市商承诺偿还剩余的200万枚。

个人资产安全防护建议

鉴于机构频频因人为失误造成巨额损失，普通用户在保护个人资产时需要格外谨慎。以下是几点重要建议：

1. 避免使用第三方工具创建钱包

除了原生加密钱包，不要使用其他第三方工具创建钱包。第三方工具可能存在监控用户记录和低成本作恶的风险。例如，某DEX聚合器曾警告使用Profanity创建的以太坊地址存在安全漏洞，可能导致资产被盗。

2. 考虑为主要钱包启用多重签名

虽然多重签名可能不适用于高频交易，但对于存储大量资产的主要钱包来说，启用多重签名可以有效降低人为失误造成的损失风险。

3. 切勿复制粘贴保存私钥

私钥的复杂性容易诱使用户采用复制粘贴的方式保存。然而，设备上的许多第三方应用或插件可能有权限访问剪贴板，无线网络的安全性也难以保证。即使暂时没有遭遇攻击，也可能是黑客在等待更多资产入账后再实施盗窃。

4. 链上操作时仔细检查授权的合约和资产

在使用DeFi产品时，务必核实网站域名和区块浏览器上的合约地址是否为官方版本。这可以避免因操作被黑的前端或钓鱼网站而授权恶意合约。

5. 控制授权额度并及时撤销不必要的授权

虽然无限制授权可能更方便，但这增加了潜在风险。建议根据实际使用需求设置授权额度。对于不再使用的产品，应立即撤销其访问资产的授权。

各大区块浏览器通常都提供撤销授权的功能入口，用户可以定期检查并清理不必要的授权。

区块链资产一旦被盗往往难以追回，且在许多情况下可能不受法律保护。因此，用户在进行链上操作时必须保持高度警惕，采取一切可能的措施来保护自己的资产安全。