黑客隱藏 650 萬美元 Tornado Cash,加密隱私爭議愈演愈烈
根據區塊鏈監控平台 PeckShield 和 Paidun 的數據,利用去中心化金融 (DeFi) 協議 ResupplyFi 發起 960 萬美元攻擊的黑客已將 1,607 ETH(約 650 萬美元)存入 Tornado Cash(一種專注於隱私的加密貨幣混合器)。 派頓監控[1]這些資金源於 2025 年 6 月針對 ResupplyFi wstUSR 市場的價格操縱攻擊,該攻擊利用了該協議合成穩定幣集成中的漏洞。 攻擊者利用閃電貸人為抬高 wstUSR 的價值,以極低的抵押品實現了 1000 萬美元 reUSD 的未經授權提取。 ResupplyFi 漏洞利用細節[2].
被盜資產流入 Tornado Cash 凸顯了追踪非法加密貨幣交易的持續挑戰。 Tornado Cash 是一種去中心化協議,使用零知識證明來隱藏交易軌跡,允許用戶將資金存入並提取到新地址,從而切斷發送方和接收方之間的鏈上連接。 Tornado Cash 功能[3]該平台於 2022 年因涉嫌協助洗錢而根據第 13694 號行政命令受到美國製裁,並於 2025 年 3 月被美國財政部除名,此前美國第五巡迴法院裁定其
不可變的根據《國際緊急經濟權力法》,智能合約不受制裁財政部製裁退市[4]。 這一法律轉變再次引發了關於去中心化工具監管的爭論,批評者認為,對代碼本身的製裁可能會扼殺創新,而支持者則強調打擊非法金融的問責制的必要性。安全公司指出,ResupplyFi 漏洞利用了弱點
神諭機制,這是 DeFi 協議中反復出現的漏洞。 Cyvers 對此次攻擊進行了分析,並表示黑客操縱了內部代幣估值,從而竊取資金,繞過了破產檢查。 Cyvers分析[5]被盜資產最初被兌換成 ETH,並分散到兩個地址,之後匯入 Tornado Cash。 PeckShield 報告稱,攻擊者的主錢包仍持有部分收益,但使用混合器會使進一步追踪變得複雜。 PeckShield跟踪報告[6].ResupplyFi 暫停了受影響的智能合約並承認了此次入侵,並表示只有其 wstUSR 市場受到了攻擊。 該協議尚未發布完整的事後分析報告,但強調其他市場仍然安全。 ResupplyFi 響應[7]此次事件使 2025 年加密貨幣黑客攻擊事件總數不斷增加,CertiK 報告稱,今年迄今為止,黑客攻擊已造成超過 21 億美元的損失,主要源於社會工程學和供應鏈攻擊等手段。 CertiK 2025 黑客報告[8]分析師警告稱,依賴合成資產和預言機機制的 DeFi 協議仍然特別脆弱,並敦促加強輸入驗證和實時異常監控,以降低風險。 DeFi 安全建議[9].
ResupplyFi 案凸顯了加密貨幣領域隱私與監管之間的緊張關係。 儘管 Tornado Cash 的下架被譽為開源開發者的勝利,但監管機構仍在繼續瞄準利用去中心化平台的個人行為者。 美國司法部已分別起訴 Tornado Cash 聯合創始人 ROMan Storm 和 Roman Semenov,指控他們涉嫌參與洗錢超過 10 億美元被盜資金。 司法部起訴書細節[10]隨著法律環境的發展,金融隱私與合規之間的平衡仍然是一個有爭議的問題,這對去中心化金融的未來具有影響。
