区块链资产安全：从重大盗窃案例看个人资产保护

随着DeFi和NFT等链上产品的兴起，用户资产逐渐从中心化渠道转移到去中心化的钱包、跨链桥和借贷产品中。然而，链上项目和用户资产被盗事件频发，使得区块链常被戏称为黑客的"提款机"。这些盗窃案件既有代码漏洞导致，也有人为因素造成。

Wintermute遭遇1.6亿美元盗窃案

9月20日，某加密做市商遭遇了1.6亿美元的资产盗窃。该公司创始人随后表示，公司的中心化金融和场外交易业务未受影响，偿付能力仍是剩余股本的两倍。在被盗的90项资产中，仅有两项的名义价值超过100万美元，因此不太可能引发大规模抛售。

区块链安全公司很快锁定了黑客地址，发现其资金来源包括某匿名混币工具和大型交易所的提币操作。被盗资产中约73%是稳定币，8%是WBTC，6%是ETH。攻击者将1.14亿美元存入某去中心化交易所做流动性提供。

专业分析指出，此次被盗可能源于受害公司使用了存在漏洞的靓号钱包生成工具。公司创始人承认，他们确实在6月份使用了该工具和内部工具来创建钱包地址，目的是优化手续费。尽管在得知工具存在漏洞后采取了措施，但由于内部操作失误，未能完全清除受影响地址。

为追回被盗资金，该公司表示愿意向黑客提供10%的赏金，即1600万美元。尽管此次事件由内部人为错误引发，公司表示不会解雇员工、改变策略、筹集额外资金或停止DeFi业务。

然而，链上数据显示该公司对多个交易对手的DeFi债务超过2亿美元，包括一笔9200万美元的USDT贷款将于10月到期。如果被盗资金无法及时追回，公司可能面临债务危机。

早前的2000万OP代币盗窃案

这并非该公司首次因人为因素遭受资产损失。2022年6月，在为某Layer 2项目提供流动性服务时，公司因操作失误导致2000万枚代币被盗。

事件起因是公司提供了以太坊主网的多重签名地址，而非Layer 2网络上的地址。由于多重签名合约的特性，公司无法直接访问Layer 2上的代币。在公司试图修复这一问题时，攻击者抢先一步部署了恶意合约并控制了这些代币。

所幸黑客最终归还了大部分被盗代币，公司也承诺补偿剩余损失。

个人资产保护指南

鉴于机构频频因人为失误造成巨额损失，个人用户更应谨慎保护自己的资产。以下是几点建议：

1. 避免使用第三方工具创建钱包，坚持使用原生加密钱包。第三方工具可能存在安全隐患，容易被监控或利用。

2. 对主要资产钱包使用多重签名。虽然可能不适用于高频交易，但对大多数用户来说，多重签名可以有效降低资产被盗风险。

3. 不要复制粘贴保存私钥。许多设备和应用可能有权限查看剪贴板内容，无线网络也存在安全风险。即使暂时安全，也可能被黑客盯上等待时机。

4. 链上操作时仔细检查授权的合约和资产。确认网站域名和智能合约地址的真实性，防止授权给恶意合约。

5. 限制授权资产数额并及时撤销不必要的授权。尽量按需授权，使用后立即撤销，以减少潜在风险。可通过区块浏览器的授权检查工具管理授权。

在区块链世界，安全至关重要。被盗资产难以追回且往往不受法律保护，因此用户在进行链上操作时务必保持警惕，采取一切可能的措施保护自己的资产安全。