上週1月10日,一個巨大的黑客事件從單一加密貨幣錢包中提取了 $282 百萬資金。
儘管這些資金最初似乎永遠丟失,但 CertiK 最新的取證數據顯示部分資金的所在位置。
他們的系統在本週標記出 Tornado Cash 上洗錢活動的激增,並將其直接與被盜資產聯繫起來。
根據 CertiK 分析師的說法,大約 $63 百萬已經通過隱私混合器轉移。這個數量只是總損失的一小部分,但顯示盜竊是一個有組織的行動,且黑客(正試圖抹去數字痕跡。
CertiK 的研究人員繪出了資金目前可能所在的位置,他們的調查結果顯示,攻擊者一開始使用比特幣,但很快轉移到以太坊網絡。
2026年1月10日UTC時間晚上11點左右,一名受害者因硬體錢包社交工程詐騙損失了超過2.82億美元的 LTC 和 BTC。
攻擊者開始將被盜的 LTC 和 BTC 轉換成門羅幣(Monero),通過多個即時交易所,導致 XMR 價格急劇上升。
BTC 也…
— ZachXBT )@zachxbt( 2026年1月16日
數據顯示,有686 BTC經過跨鏈橋轉移,並導致約19,600 ETH到達一個單一地址。
資金到達以太坊後,攻擊者開始通過 Tornado Cash 進行洗錢。CertiK 也指出,盜賊並未同步洗錢。
相反,他們將以太幣拆分成多個較小的錢包,每個持有約400 ETH。
專家將這些行動稱為“教科書式”的加密貨幣盜竊,因為其操作具有通用性。
#CertiKInsight 🚨
我們已偵測到通往 1月10日涉嫌錢包被攻擊的 Tornado Cash 存款,該事件造成超過2.82億美元的損失。
部分資金 )約63M美元( 被橋接到0xF73a4EbC3d0984F166AC215471Cc895cB4F5cc21,然後進行進一步洗錢。
保持警覺! pic.twitter.com/byzRmjoeZR
— CertiK 警報 )@CertiKAlert( 2026年1月19日
攻擊者使用像 THORswap 這樣的平台在不同鏈之間跳轉。歷史上,黑客這樣做是為了隱藏行蹤,他們將 ETH 分成400個一組的碎片,顯示出他們有意在洗錢。
一旦資產進入像 Tornado Cash 這樣的混合器,發送者與接收者之間的可見鏈接就會中斷,安全團隊警告說,經過這一步後,資產的追蹤和追回機會幾乎為零。
) 盜竊背後的人為錯誤
雖然洗錢行為看似經過深思熟慮,但原始的盜竊行為則簡單得多。
1月10日的事件是通過社交工程攻擊發生的,攻擊者假扮成錢包客服人員,利用這一點贏得受害者的信任。
攻擊者說服用戶透露助記詞,一旦受害者這麼做,黑客就完全控制了1,459 BTC和超過200萬個 Litecoin。
通常,受害的交易者會希望區塊鏈記錄能幫助他們追回資金。
然而,在這個案例中,資金正緩慢通過 Tornado Cash 流動,每一秒都在降低追回的可能性。
當資金離開混合器時,它們看起來就像“乾淨”的幣,沒有任何歷史記錄。
執法機關有時可以標記與混合器互動的地址,但這些協議是去中心化的,追蹤過程可能非常困難。
