UXLINK 攻击者将被盗 DAI 洗入以太坊

CN
2 小時前

UXLINK 在近期遭遇攻击,被黑客控制的大额 DAI 一度只是一串静默数字,直到 2024 年 7 月 4 日,这笔钱第一次以清晰路径闯入以太坊主网的公共视野。当天,与 UXLINK 攻击相关的地址在链上突然出手,花费 1054 万枚 DAI,以约 1757 美元/ETH 的均价买入 6001 枚 ETH,干脆利落地完成从“被盗筹码”到“链上原生资产”的首次转换。紧接着,这 6001 枚 ETH 并未在公开地址间停留,而是被迅速拆分、分批推入 Tornado Cash——这套部署在以太坊上的混币协议会将多名用户的资金打乱重组,试图抹平每一条可追踪的资金轨迹。这一连串动作被 Onchain Lens 及时捕捉,并经包括 BlockBeats 在内的多家媒体披露,使原本隐藏在项目攻击叙事背后的那笔 DAI,转化为一场“链上追踪工具”与“混币隐匿技术”之间的正面博弈。在更广泛的攻击样本中,先将被盗稳定资产兑换为 ETH 或其他原生资产,再送入混币协议,是业内常见模式之一,而本案也在重复这一路径,只是所有参与者都清楚,真正决定结局的,不是这次兑换本身,而是追踪方能否在 Tornado Cash 的入口处抢在攻击者前一步锁定足够多的资金指纹。

1054 万 DAI 换成 6001 ETH

就在资金被送入混币入口前,攻击者完成了关键一步“换皮”。据公开链上信息显示,与 UXLINK 攻击相关的以太坊地址在 2024 年 7 月 4 日动用手中被盗而来的大额 DAI,一笔花出 1054 万枚,在链上完成单次大额兑换,直接买入 6001 枚 ETH,折合均价约 1757 美元/ETH。Onchain Lens 监测到,这不是拆单慢慢建仓,而是一次性完成的集中操作,随后这 6001 枚 ETH 很快被分批划入 Tornado Cash 合约,进入到混币流程之中。

从动机上看,攻击者选择在这一价位、以一笔完成从 DAI 到 ETH 的切换,很难被解读为简单的“押注行情”。更合理的解释是,持有 DAI 时,资金形态高度清晰,集中在少数地址、金额固定,便于外部溯源;而换成 ETH 之后,再送入专门为打乱资金轨迹而设计的混币协议,攻击者可以在承担价格波动风险的前提下,换取更低的表层可见度。对追踪方而言,这笔 1054 万 DAI 的兑换在时间点与金额上都构成了鲜明锚点,而对攻击者而言,将稳定形态的被盗资产切换为易于进入混币通道的 ETH,则是他们在隐匿与敞口之间做出的主动权衡。

Tornado Cash 混币切断追踪线索

在将 1054 万枚 DAI 兑换成 6001 枚 ETH 之后,这名与 UXLINK 攻击相关的地址并没有在链上停留太久,而是很快开始把这 6001 枚 ETH 拆成多笔,分批转入 Tornado Cash 合约。批次和拆分比例尚未公开,但路径已经非常清晰:先集中换成易于进入混币通道的 ETH,再以多次小额注入的方式,把原本高度集中的攻击收益“打碎”,消解那笔巨额兑换在链上留下的单点标记。

Tornado Cash 本身就是为这种“打碎与重组”而生的混币协议:多个用户把 ETH 存入同一个池子,协议在内部打散记录,之后由用户在新的地址提走等额资产,从表层交易记录上看,存款地址与取款地址之间不再存在直接、简单的映射关系。对于试图跟踪资金的观察者来说,一旦攻击者完成存入,后续哪一笔提现源自哪一笔攻击资金就变成了高度不确定的问题,只能停留在概率推演的层面。尽管 Tornado Cash 已被美国财政部列入制裁名单,但据公开链上表现,这一合约至今仍持续有资金进出,并被包括黑客在内的各类攻击者用作掩饰被盗资产来源的常规工具,这正是攻击者在本案中押注 Tornado Cash 的核心动机之一。

资金进 Tornado UXLink 还能追吗

从受害方视角看,一旦攻击者把资产送进 Tornado Cash,追回难度几乎是按倍数抬升。本案中,相关地址先在以太坊上动用 1054 万枚 DAI,以约 1757 美元/ETH 的均价买入 6001 枚 ETH,再将这 6001 枚 ETH 分批打入 Tornado 合约,单笔入金被拆散在更大的资金池中,原始被盗资产与后续任意一笔提现之间的“点对点”对应关系被彻底打乱。之后即便通过时间窗口、金额特征等继续做概率推演,也很难给出足够强的证据链,让交易平台或司法机构据此直接认定某笔出金就是 UXLink 被盗资金的延伸。

在行业惯例上,面对类似攻击,项目方通常会在链上大额资金动作出现早期,就先行暂停相关合约、发布风险提示,并与主要交易平台沟通,将已识别的攻击者地址列入监控或黑名单,以尽可能在资产进入高隐私工具前“拦截”部分流向;部分项目还会尝试通过链上公开喊话、悬赏等方式,与攻击者博弈。但就目前公开信息来看,尚未见到 UXLink 团队就这笔 6001 枚 ETH 进 Tornado 之后的具体链上处置给出详细说明,也没有任何执法机构就相关资金流动发布通告,这意味着事件后续走向仍存在较大不确定性,需要继续关注后续披露与可能出现的链上新线索。

链上追踪与混币协议的拉锯战

在 UXLINK 这起事件中,1054 万枚 DAI 在以太坊上被迅速换成 6001 枚 ETH,据 AiCoin 数据与公开链上信息显示,这一大额换币动作被链上监测工具及时捕捉,并经包括 BlockBeats 在内的多家媒体披露。对追踪团队而言,这正是典型的“裸奔窗口”:资金尚未进入 Tornado Cash 等混币协议,路径完整、金额巨大、地址集中,更容易被标记、归类并纳入图谱分析。此时不仅可以锁定攻击相关地址簇,还能梳理出与项目合约、早期收款钱包之间的关系,为后续一旦出现出金行为时,重新对号入座留下锚点。

但一旦这 6001 枚 ETH 被分批注入 Tornado Cash,攻守双方就进入了长期拉锯战。链上分析团队通常会在资金进入混币协议前后,对所有关联地址进行系统标记和图谱建模,期望在未来某个时间点,当混币后的资金从 Tornado Cash 流出、重新与交易平台或其他链上资产发生交集时,借助这些“事前指纹”重新建立资金关联。与此同时,围绕 Tornado Cash 这样的混币协议,监管机构已通过制裁等手段施压,但链上使用并未消失,包含黑客与攻击者在内的参与者则不断调整路径与工具,例如更频繁地拆分额度、改变转账节奏、叠加更多隐私工具,试图削弱这些图谱的有效性。这种一方强化追踪技术、一方精细化隐匿路径的动态平衡,使得每一起大型攻击事件都不仅是项目自身的安全危机,也是一场关于链上透明度边界的持续博弈。

从这笔 1054 万 DAI 看安全战场

从 UXLINK 遭遇攻击,到攻击者掌握大额 DAI,再到 7 月 4 日在以太坊上集中动用 1054 万枚 DAI、按约 1757 美元/ETH 的均价换得 6001 枚 ETH,继而分批送入 Tornado Cash,这条几乎一笔笔写在链上的路径,完整复现了当下链上攻击的“标准剧本”:先锁定流动性好的锚定资产,再统一换成主流原生资产,最后借助混币协议抹除来路。对项目方来说,这条路径之所以跑得如此顺滑,背后暴露的是三个层面的薄弱:一是在攻击发生前,合约审计、权限设计、风控预案是否足够严密;二是在异常资金首次移动时,是否具备实时监控与快速应急能力,能否在巨额 DAI 尚未完全出逃前争取止损空间;三是在资金已经进入 Tornado Cash 之后,如何组织情报共享、与交易平台和监管沟通,避免信息披露滞后让攻击者获得更充裕的“冷却期”。目前公开信息并未显示这 6001 枚 ETH 从 Tornado Cash 出金后的去向,攻击者是否尝试通过跨链、场外或中心化平台进一步出金仍待观察,相关地址后续一旦出现可识别的聚焦地址、重复模式或与已知实体交集,都可能成为追踪和追责的突破口;与此同时,围绕 Tornado Cash 此类混币工具,如何在保障普通用户合理隐私的前提下,对明显与攻击、洗钱相关的滥用行为设定更清晰的边界和协调机制,将继续是这场安全战场上绕不开的制度性问题。

加入我们的社区,一起来讨论,一起变得更强吧!
AiCoin专属Hyperliquid福利:https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利:https://www.asterdex.com/zh-CN/referral/9C50e2
链上电报(Telegram)社群:https://t.me/AiCoinWhaleData
链上社区:https://www.aicoin.com/link/chat?cid=N6OVMor5g
AiCoin链上推特:https://x.com/aicoinwhaledata

免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

分享至:
APP下載

X

Telegram

Facebook

Reddit

複製鏈接