区块链资产安全事件频发，如何保护个人数字资产?

随着去中心化金融(DeFi)和非同质化代币(NFT)等区块链应用的兴起,用户资产逐渐从中心化平台转移到去中心化钱包、跨链桥和借贷产品等。然而,链上项目和用户资产被盗事件频频发生,区块链似乎成了黑客的"提款机"。这些安全事件有的源于代码漏洞,有的则是人为疏忽所致。

人为失误导致巨额资产损失

9月20日,某加密做市商遭遇黑客攻击,损失高达1.6亿美元。该公司创始人随后发布声明称,公司的中心化金融和场外交易业务未受影响,偿付能力仍为剩余股本的两倍。在被盗的90种资产中,仅有两种的名义价值超过100万美元,因此不太可能引发大规模抛售。

区块链安全公司很快锁定了黑客地址。根据链上数据,被盗资金中约73%是稳定币,8%是WBTC,6%是ETH。攻击者将1.14亿美元存入某DeFi协议做流动性提供,成为该协议第三大流动性提供者。

安全专家分析认为,此次攻击可能是因为受害公司使用了存在漏洞的工具来创建"靓号"钱包地址。公司创始人随后承认,他们确实在6月份使用了该工具来创建钱包地址,目的是为了优化手续费。虽然上周得知工具存在漏洞后开始弃用旧密钥,但由于内部操作失误未能及时删除受影响地址的签名权限。

对于被盗资金,公司表示愿意向黑客支付10%的赏金(约1600万美元)以换回全部资金。公司强调,此次攻击仅影响用于链上DeFi交易的以太坊保管库,不会因此解雇员工、改变策略或停止DeFi业务。

然而,链上数据显示该公司目前对几个交易对手的DeFi债务超过2亿美元,其中最大一笔是9200万美元的USDT贷款,将于10月15日到期。如果被盗资金无法及时追回,该公司可能面临债务危机风险。

事实上,这已经不是该公司第一次因人为因素遭受损失。今年6月,在为某Layer2项目提供流动性时,该公司也因操作失误丢失了2000万枚代币。当时该公司提供了一个以太坊主网的多重签名地址来接收代币,但该地址尚未部署到Layer2网络。在公司尝试恢复操作之前,黑客抢先在Layer2上部署了多重签名合约并控制了这些代币。所幸黑客最终归还了大部分代币。

个人用户如何规避资产被盗风险

鉴于机构频繁因人为失误遭受巨额损失,个人用户更应该谨慎保护自己的数字资产。以下是几点建议:

1. 避免使用第三方工具创建钱包。应该使用原生加密钱包,而非其他工具创建钱包地址,因为第三方工具可能存在安全隐患。

2. 考虑对主要钱包使用多重签名。虽然不适用于高频交易,但对大多数用户来说,多重签名可以有效降低人为操作失误的风险。

3. 切勿复制粘贴保存私钥。许多设备和应用可能会读取剪贴板内容,导致私钥泄露。应该采用更安全的方式保存私钥。

4. 授权操作时仔细检查合约地址。在与DeFi协议等进行交互时,要核实网站域名和智能合约地址的真实性,避免授权给恶意合约。

5. 合理设置授权额度并及时撤销。尽量避免无限制授权,使用多少授权多少。对不再使用的产品要及时撤销授权,可以通过区块浏览器上的授权管理工具操作。

在区块链世界,安全无小事。资产被盗后往往难以追回,也缺乏法律保护。用户在链上操作时应时刻保持警惕,采取各种措施保护自己的数字资产安全。只有这样,才能更好地享受区块链技术带来的便利,而不被其潜在风险所困扰。