2025年9月,某Web3社交平台因多签钱包中委托调用函数存在漏洞,遭遇严重入侵。攻击者成功提取约1130万美元资产,包括400万USDT、50万USDC、3.7枚WBTC、25枚ETH及价值约300万美元的平台原生代币。
令人意外的是,该攻击者未使用混币服务转移资金,而是在48小时内将1620枚ETH兑换为约673万枚DAI,并在去中心化交易所CoW Swap上展开密集交易。所有操作均公开于链上,可被任意追溯。
此后六个月间,其累计执行625笔交易,主要集中在WETH与DAI之间的转换。这种高频低效的操作模式更接近散户日内投机,而非成熟洗钱流程。
其最重仓头寸为以平均83225美元购入的203枚WBTC,至2026年2月,该部分未实现亏损已达约268万美元。
在最低点时,整个投资组合浮亏高达480万美元。原本盗取的1130万美元,在主动交易半年后反而出现实质性贬值。
截至2026年3月,攻击者以每枚约2150美元的价格卖出5496枚ETH,共回笼约1180万美元。扣除期间损失,净收益仅约93.5万美元,不足初始金额的十分之一。
与此同时,价值约300万美元的平台原生代币价格崩盘——从2024年12月的3.75美元暴跌至0.0044美元,市值蒸发超7000万美元。无论后续如何操作,这部分资产已彻底归零。
如果说前例是技术误判导致自损,那么ZKLend事件则展现出更复杂的反转剧情:攻击者最终成了同类手法的受害者。
2025年2月,攻击者利用StarkNet借贷协议的闪贷舍入漏洞,窃取960万美元。当试图清洗赃款时,将价值540万美元的2930枚ETH转入一个伪装成混币器的钓鱼网站。
事后,该攻击者在链上留言称:“一切因一个错误网站而荡然无存。”此句迅速成为行业警示语。
项目方随后提出以96万美元赏金并承诺免于起诉,换取其在限期内返还剩余资金。此类“白帽赏金”谈判正逐步演变为处理漏洞事件的标准应对方式。
需指出的是,该钓鱼事件尚未获第三方区块链取证机构确认。部分社区推测,链上留言可能是为掩盖真实资金流向而编造的托词。若属实,则原始盗取的960万美元中,实际留存不足420万美元,且仍面临法律追责。
这两起事件均发生于加密市场深度调整期。避险情绪蔓延至数字资产领域,导致价格持续下行。
UXLink黑客以83225美元均价买入WBTC,而2026年3月ETH价格仅为2150美元,远低于漏洞爆发时水平。市场下跌对普通持有者构成压力,对黑客同样产生同等冲击。
数据显示,2025年全球加密攻击总损失达34亿美元。尽管失窃规模惊人,但在下行周期中,被盗资产能否保值已成为幻觉。
核心矛盾在于:被盗资产多以高波动性代币计价,而非稳定法币。大规模转移需长时间分批清算,延迟本身即意味着价值损耗。牛市中盗取1100万美元的攻击者,若能安全转移,其价值可能仅剩700万美元。
正是这种波动性既吸引攻击者,又吞噬其成果,构成了当前盗取行为的结构性悖论。
UXLink事件标志着资金追踪范式的转变。黑客在CoW Swap上的625笔交易形成长达六个月的行为日志,每一步兑换、每一次资产切换皆被永久记录,可供任何区块浏览器访问。
选择不使用混币器而直接交易,反映出其对链上可见性的认知偏差或过度自信。这一决定使得分析者能够完整还原其操作轨迹,为后续调查提供坚实依据。
ZKLend案例揭示了另一维度的风险:用于混淆资金流向的混币器和隐私协议,本身也成为钓鱼攻击的温床。伪造的混币器域名诱使攻击者转移540万美元ETH,暴露出洗钱生态的对抗性本质。
与普通用户相比,黑客无法报告损失或寻求援助,因此成为诈骗的高危群体。以10%赏金加豁免权为核心的白帽激励机制,已成为去中心化协议在缺乏执法支持下唯一可行的追偿路径。
必须强调:链上数据揭示行为,但无法锁定身份。尽管可追踪交易频率、时间与金额,但无法确定真实主体。两起案件均未引发逮捕。现实身份识别仍依赖链下线索——如交易所实名记录、IP日志或钱包关联失误。
然而,操作空间正在不断压缩。每一笔可追溯交易都是潜在证据,每一次链上兑换都留下痕迹。随着现货ETF等合规产品推动市场规范化,匿名链上活动与现实身份之间的鸿沟正加速弥合。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.
