资产安全：如何避免链上资金被盗

随着去中心化金融和非同质化代币等区块链应用的普及，用户资产逐渐从传统中心化渠道转移到去中心化钱包、跨链桥和借贷产品等平台。然而，链上项目和用户资产被盗事件频发，使得区块链被戏称为"黑客提款机"。

这些安全事故有些源于代码漏洞，但也有不少是人为因素导致的。比如近期某加密做市商就因操作失误损失了1.6亿美元。

巨额资产损失源于简单人为错误

事发后，该做市商表示其中心化金融和场外交易业务未受影响，偿付能力仍是剩余股本的两倍。对于与其有做市协议的用户，资金安全有保障。在被黑客入侵的90项资产中，仅两项价值超过100万美元，因此不太可能引发大规模抛售。

安全公司分析发现，黑客地址与Tornado Cash和某些交易所提币操作有关。被盗资金中约73%是稳定币，8%是WBTC，6%是ETH。攻击者将1.14亿美元存入某项目做流动性提供。

事后调查显示，被盗原因可能是使用了存在漏洞的地址生成工具。该做市商承认曾使用这类工具来优化手续费，而非创建靓号地址。尽管上周得知工具存在漏洞后开始弃用旧密钥，但由于内部错误调用了错误的函数，未能及时删除受影响地址的签名权限。

对于被盗资金，该做市商表示愿意支付10%赏金用于追回。虽然此次事故由内部人为失误造成，但公司不会因此解雇员工、改变策略或暂停相关业务。

然而，链上数据显示该做市商对多个交易对手的去中心化金融债务超过2亿美元，其中最大一笔是将于10月到期的9200万美元稳定币贷款。如果被盗资金无法及时追回，该公司可能面临债务危机。

再次因人为失误遭受损失

事实上，这已经不是该做市商第一次因人为因素遭受损失。今年6月，其受邀为某Layer 2项目提供流动性时，就因操作失误丢失了2000万枚代币。

当时，该Layer 2项目基金会向做市商分配了2000万枚代币用于提供流动性。做市商提供了一个以太坊主网的多重签名地址来接收代币。但由于这个地址尚未部署到Layer 2网络，导致做市商无法访问这些代币。

在做市商试图恢复操作时，攻击者抢先一步将多重签名合约部署到Layer 2网络并控制了这2000万枚代币。所幸次日黑客退回了1700万枚代币，剩余损失由做市商承担。

个人用户如何规避资产被盗风险

鉴于机构频繁因人为失误造成巨额损失，个人用户更需谨慎保护自身资产安全。以下是几点建议：

1. 仅使用原生加密钱包创建地址，避免使用第三方工具。第三方工具可能存在安全隐患，容易被监控或攻击。

2. 对主要资产钱包采用多重签名。虽然不适用于高频交易，但对普通用户来说可以最大程度规避人为失误风险。

3. 切勿复制粘贴保存私钥。许多设备和应用可能获取剪贴板内容，增加泄露风险。即使暂时安全，也可能在资产增加后遭到攻击。

4. 链上操作时仔细检查授权的合约和资产。验证网站域名和智能合约地址的真实性，防止授权给恶意合约。

5. 合理设置授权额度并及时撤销不必要的授权。避免无限制授权，使用后及时撤销访问权限，降低潜在风险。

安全无小事，尤其在区块链资产难以追回且法律保护有限的情况下。用户在链上操作时应格外谨慎，采取多重防护措施，最大限度保障资产安全。