全球

TrustedVolumes黑客利用Tornado Cash和THORChain清洗27.8万美元被盗资金

Posted on by Aiying快讯
12
5 月

Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。

又是一起经典的「黑客先拿下合约,再慢慢洗钱」的戏码。PeckShield 追到 TrustedVolumes 黑客已经把 27.8 万美元送进了 Tornado Cash 和 THORChain 这条老路,但比起 670 万美元的总损失,目前只洗了 4%,剩下的钱大概率还在链上盯着看。我来聊聊这起案子的几个细节,以及它反映的洗钱手法趋势。

发生了什么

攻击时间线与损失规模

根据 PeckShield 的监控(PeckShieldAlert,2026-05-11),TrustedVolumes 于 5 月 7 日遭到攻击,总损失约 670 万美元。事件发生后大约四天,攻击者才开始动手转移资金,这个节奏比较符合典型的链上黑客——拿到钱之后不敢马上动,先观察执法方和白帽的反应。

27.8 万美元的洗钱路径拆解

这次洗出去的 27.8 万美元分成三条路径,每一条都值得留意:

  • Tornado Cash:存入 10.2 枚 ETH(约 2.36 万美元)。经典混币器路径,哪怕 Tornado Cash 的智能合约在 2022 年就被 OFAC 列入 SDN 清单,仍然是很多黑客的首选。
  • THORChain 跨链兑换:将 110 枚 ETH(约 25 万美元)通过 THORChain 换成 BTC。这是目前最主流的跨链洗钱路径,用去中心化跨链 DEX 把资产从一条链换到另一条链,断掉链上追踪的连续性。
  • Railgun 未完成尝试:先往 Railgun 存了 0.5 枚 ETH,后来又转了回来。这是个很有意思的信号——黑客在试水一个更新的隐私协议,但不知因为什么原因(可能是费用、延迟或者担心被标记)放弃了。

信源层级说明

这条信息的一手来源是 PeckShield 安全团队在 X 上的实时警报,吴说区块链等中文媒体做了转载。链上数据可以通过 Etherscan 和 THORChain Explorer 二次验证,这点比很多传言要硬。

为什么重要

Tornado Cash 制裁失效的又一例证

Tornado Cash 被 OFAC 制裁、核心开发者 Alexey Pertsev 在荷兰被判刑之后,很多人以为这个混币器会凉掉。事实完全相反——合约是不可升级的去中心化合约,制裁没法让它停止运行。对合规机构来说,这意味着凡是来自 Tornado Cash 的资金,都要默认视作高风险,走增强尽职调查(EDD)。这次事件再次提醒:制裁名单不等于技术失效。

THORChain 正在变成跨链洗钱的主通道

过去一两年,THORChain 承接了朝鲜黑客(Lazarus Group)、Bybit 黑客以及大量 DeFi 攻击事件的跨链洗钱流量。它的特点是去中心化、无 KYC、支持 ETH/BTC/BNB 等主流链,比中心化交易所更难冻结。这次 TrustedVolumes 黑客选择 THORChain 处理 25 万美元(占总洗钱量 90%),说明这条路径已经是黑客圈的默认选项。合规团队在做资金追踪时,遇到 THORChain 进出就要特别标记

Railgun 的「试水-撤回」动作值得关注

Railgun 是一个基于 ZK 的隐私协议,比 Tornado Cash 更新、合规团队对它的画像也更少。攻击者先存 0.5 枚 ETH 又转回,这不是操作失误——更像是有意的小额测试。这种行为说明黑客在主动寻找下一代隐私工具,而合规侧对这些新兴协议的监控能力明显落后。Chainalysis、TRM Labs 对 Railgun 的标注覆盖远不如 Tornado Cash 完整,这里是一个监测盲区。

怎么看

  • 多工具组合:单一混币器已经不够用,黑客会把混币器 + 跨链 DEX + 隐私协议叠起来,每一层削弱一次可追溯性。
  • OFAC 制裁仍有法律风险:机构或交易所如果接收到可追溯至 Tornado Cash 的资金,即使不知情也可能触发合规问询。链上归因能力决定责任边界。
  • 剩余 96% 是执法窗口:670 万美元中只洗了 27.8 万,剩下的 640 万还躺在链上。对白帽和执法方来说,这是个主动沟通、协商归还的黄金窗口期。
  • 新协议的灰色地带:Railgun 这类新兴隐私协议本身不一定违法,但当它们进入黑客工具箱,合规产品和交易所就得提前把画像做出来。
  • THORChain 治理压力会加大:如果跨链洗钱集中度持续上升,THORChain 节点可能面临来自美国、欧盟监管的间接压力——要么加黑名单,要么被视同违规基础设施。

一句话总结

一起 670 万美元的 DeFi 攻击,洗钱路径把 Tornado Cash、THORChain、Railgun 都串上了——这不是个案,这是 2026 年的标准操作手册。

本文基于 PeckShieldAlert(2026-05-11)的链上监测数据撰写。转载需经 Aiying 艾盈团队授权。

Aiying快讯