区块链资产安全引发关注，频繁被盗事件暴露多重风险

随着去中心化金融和非同质化代币等链上产品的兴起，用户资产逐渐从传统中心化渠道转向去中心化钱包、跨链桥和借贷平台等。然而，链上频繁发生的项目和用户资产被盗事件引发了广泛关注，甚至有人戏称区块链成为了黑客的"提款机"。

这些安全事件的原因多种多样，既有代码层面的漏洞，也有人为因素导致的失误。一个典型案例是9月20日加密做市商Wintermute遭遇的1.6亿美元被盗事件。

人为失误导致巨额资产损失

Wintermute创始人在事件发生后表示，公司的中心化金融和场外交易业务未受影响，偿付能力仍为剩余股本的两倍。他reassured用户，如果与Wintermute有做市协议，资金是安全的。在被黑客入侵的90项资产中，仅有两项的名义价值超过100万美元，因此不太可能出现大规模抛售。

区块链安全公司Salus Security迅速定位到了黑客地址，发现其资金来源包括某匿名混币工具和从某些交易平台大量提币的独立钱包。该地址还与疑似Wintermute用户地址有关联，并与某知名交易所的官方合约存在资金流出操作。

根据链上数据分析，Wintermute被盗的1.6亿美元中约73%是稳定币，8%是WBTC，6%是ETH。攻击者将1.14亿美元存入某去中心化交易所做流动性提供，成为该平台第三大LP。

安全公司慢雾分析认为，被盗原因可能是Wintermute使用了存在漏洞的靓号钱包生成工具。Wintermute创始人随后证实，公司确实在6月份使用了该工具来创建钱包地址，目的是优化手续费而非创建靓号。尽管上周得知该工具存在漏洞后开始弃用旧密钥，但由于内部人为失误调用了错误的函数，导致未能及时删除受影响地址的签名权限。

对于被盗资金的追回，Wintermute表示愿意向黑客提供10%的赏金，约合1600万美元。公司强调此次事件不会影响其正常运营，不会解雇员工、改变策略、筹集额外资金或停止DeFi业务。

然而，链上数据显示Wintermute目前对多个交易对手的DeFi债务超过2亿美元，其中最大一笔是将于10月到期的9200万美元USDT贷款。如果被盗资金无法及时追回，Wintermute可能面临债务危机风险。

Wintermute曾因人为失误遭受损失

值得注意的是，这已经不是Wintermute首次因人为因素遭受损失。今年6月，公司在为某Layer 2项目提供流动性服务时，由于地址错误导致2000万枚代币被盗。

当时Wintermute受邀为该项目提供流动性，基金会向其分配了2000万枚代币的临时赠款。然而，Wintermute提供的接收地址是以太坊主网上的多签地址，而非Layer 2网络上的地址。这导致Wintermute无法访问这些代币，攻击者抢先一步将多签合约部署到Layer 2并控制了这些代币。

所幸黑客最终退回了1700万枚代币，Wintermute承诺偿还剩余200万枚。这一事件再次凸显了人为操作失误可能造成的严重后果。

个人用户如何规避资产被盗风险

鉴于机构频繁因人为失误遭受巨额损失，个人用户更需谨慎保护自己的资产安全。以下是几点建议：

1. 避免使用第三方工具创建钱包：第三方工具存在监控用户记录和低成本作恶的风险，应坚持使用官方原生钱包。

2. 考虑对主要钱包实施多重签名：虽然不适用于高频交易，但对普通用户来说多重签名可以有效规避人为失误风险。

3. 切勿复制粘贴保存私钥：许多设备上的第三方应用具有读取剪贴板的权限，复制粘贴私钥存在极大风险。

4. 链上操作时仔细检查授权合约：谨防钓鱼网站或被黑的前端页面，务必核实网站域名和智能合约地址的真实性。

5. 限制授权额度并及时撤销不必要的授权：避免无限制授权，仅授权所需数额，使用完毕后及时撤销授权。

安全无小事，尤其是在区块链领域，资产被盗后难以追回且往往不受法律保护。因此，用户在进行链上操作时应当格外谨慎，采取一切可能的措施来保护自己的数字资产安全。