鏈上資產安全引發關注，加密市場頻現巨額盜竊案

隨着去中心化金融(DeFi)和非同質化代幣(NFT)等鏈上產品的興起，用戶資產正逐步從傳統中心化渠道轉移至去中心化錢包、跨鏈橋和借貸平台等。然而,這一趨勢也帶來了新的安全隱患,鏈上項目和用戶資產被盜事件頻發,以至於社區常戲稱區塊鏈是黑客的"提款機"。

這些盜竊案件中,既有源於代碼漏洞的技術性問題,也有不少是人爲疏忽造成的。9月20日,加密貨幣做市商Wintermute就因人爲失誤遭遇1.6億美元的巨額損失。

一次代價高昂的人爲失誤

遭遇攻擊後,該公司創始人在社交媒體上表示,公司的中心化金融和場外交易業務未受影響,剩餘資本仍是債務的兩倍,與Wintermute有做市協議的客戶資金安全。在被黑客入侵的90種資產中,僅有兩種名義價值超過100萬美元,因此不太可能出現大規模拋售。公司正在迅速與受影響方溝通。

區塊鏈安全公司Salus Security迅速鎖定了黑客地址。該地址資金來源包括混幣服務和多個交易所的大額提現。安全公司分析認爲,攻擊可能與Wintermute使用靚號工具Profanity創建EOA錢包有關。

Wintermute創始人隨後承認,公司確實曾在6月使用Profanity和內部工具創建錢包地址,目的是優化手續費而非獲取靚號。上周得知Profanity存在漏洞後,公司加速棄用舊密鑰,但由於內部錯誤調用了錯誤函數,未能及時刪除受影響地址的籤名權限。

對於被盜資金,創始人表示如全額歸還將給予10%即1600萬美元的賞金。他強調此次攻擊僅影響用於鏈上DeFi交易的以太坊保管庫,公司不會因此裁員、改變策略、籌資或停止DeFi業務。

然而,鏈上數據顯示Wintermute對多個交易對手的DeFi債務超2億美元,其中最大一筆是10月到期的9200萬美元USDT貸款。如被盜資金無法及時追回,公司或面臨債務危機風險。

Wintermute曾因人爲失誤損失2000萬代幣

事實上,這已不是Wintermute首次因人爲因素遭受損失。今年6月,公司在爲某公鏈代幣提供流動性服務時,就曾因操作失誤損失2000萬枚代幣。

當時Wintermute受邀爲該公鏈代幣提供流動性,獲得2000萬枚代幣臨時贈款。但公司提供的接收地址是以太坊主網的多重籤名地址,未在目標鏈部署。由於無法直接控制跨鏈資產,Wintermute試圖將多籤合約部署到目標鏈同一地址,但被攻擊者搶先一步。

所幸黑客隨後退回了1700萬枚代幣,Wintermute承諾償還剩餘200萬枚。這一事件再次凸顯了跨鏈操作的復雜性和風險。

個人用戶如何規避資產被盜風險

機構頻頻因人爲失誤遭受巨額損失,作爲個人用戶我們應如何保護自身資產安全?以下是幾點建議:

1. 避免使用第三方工具創建錢包。此類工具可能存在安全漏洞,且易被惡意監控。應堅持使用原生加密錢包。

2. 對主要資產錢包使用多重籤名。雖然不適用於高頻交易,但對大多數用戶來說是有效的安全措施。

3. 切勿復制粘貼保存私鑰。許多設備和應用可能竊取剪貼板內容,導致私鑰泄露。

4. 授權操作時仔細核對合約地址。防範釣魚網站和被黑前端。

5. 限制授權金額並及時撤銷閒置授權。無限制授權可能帶來潛在風險,使用後應及時撤銷。

區塊鏈資產一旦被盜難以追回且往往不受法律保護。用戶應時刻保持警惕,採取必要措施保護自身資產安全。在進行鏈上操作時更要謹慎行事,將風險降到最低。