黑客盗取1130万美元却陷入持续亏损

2025年9月,某Web3社交平台因多签钱包委托调用函数漏洞遭攻击,攻击者成功转移约1130万美元资产,包括400万USDT、50万USDC、3.7枚WBTC、25枚ETH及价值约300万美元的平台原生代币。 令人意外的是,该攻击者未使用混币协议进行资金清洗,反而在48小时内将1620枚ETH兑换为约673万枚DAI,并在去中心化交易所CoW Swap上展开频繁交易。所有操作均记录在链上,清晰可查。 此后六个月内,攻击者共执行625笔交易,主要集中在WETH与DAI之间兑换。这种高频、低效的日内交易模式,更接近散户投机行为,而非专业洗钱策略。

单笔持仓未实现亏损超268万美元

其最大损失来自以平均83225美元价格买入的203枚WBTC。至2026年2月,该头寸未实现亏损达268万美元。整个投资组合累计未实现亏损一度高达480万美元。 尽管在2026年3月以每枚约2150美元的价格卖出5496枚ETH,获得约1180万美元,但扣除交易成本与资产贬值后,净收益仅约93.5万美元,不足原始盗取金额的10%。 与此同时,平台原生代币价格独立崩盘,从2024年12月的3.75美元暴跌99%至0.0044美元,市值蒸发超7000万美元。无论后续操作如何,这部分资产已完全归零。

另一黑客反被钓鱼网站骗取540万美元

2025年2月,攻击者利用StarkNet上借贷协议的闪贷舍入漏洞盗取960万美元。在试图清洗赃款时,将价值540万美元的2930枚ETH转入一个伪造成混币器的钓鱼网站。 链上留言“一切因一个错误网站而荡然无存”成为行业警示语。项目方随后提出以96万美元赏金及免于起诉为条件,要求归还剩余资金。此类白帽赏金谈判已成为DeFi漏洞事件的主流应对方式。 需注意,该钓鱼事件尚未获独立区块链取证机构证实。部分社区认为留言可能是为掩盖真实资金流向而编造的托词。若属实,攻击者最终仅剩不足420万美元,且仍面临法律追责风险。

熊市下盗取资产同样面临价值侵蚀

上述事件均发生于加密市场深度调整期。避险情绪蔓延,推动投资者转向稳定资产,也波及数字货币领域。 UXLink黑客以83225美元均价购入WBTC,而到2026年3月,ETH价格仅为2150美元,远低于漏洞爆发时水平。市场下行环境对普通持有者与黑客产生同等打击。 2025年全球加密黑客攻击总损失达34亿美元。然而,在下跌行情中,被盗资产能否保值的假设不成立。由于被盗资产以高波动性代币计价,转移、兑换和清算过程耗时较长,极易遭遇价格滑落。 正是这种波动性,既吸引黑客实施攻击,又在长期下跌中不断吞噬其获利空间。这一结构性矛盾并非个别案例,而是波动性资产被盗的核心特征。

链上行为记录正在压缩黑客生存空间

UXLink事件中,625笔CoW Swap交易形成长达六个月的行为轨迹,任何区块浏览器用户均可追溯。选择非混币器路径,反映出攻击者可能缺乏安全意识或过度自信,从而留下完整证据链。 ZKLend事件则揭示更深层问题:用于混淆资金的混币器与隐私协议,本身已成为钓鱼攻击目标。伪造域名的“混币器”诱骗黑客转账,凸显洗钱生态的对抗性。 白帽赏金机制正成为事实标准。面对去中心化协议盗窃案,执法途径缺失,赏金谈判是唯一可行的追回手段。 但需强调:链上数据仅揭示行为,无法确认身份。虽能还原交易时间、频率与亏损情况,却无法锁定真实个体。逮捕仍依赖链下调查、交易所实名信息、IP日志及操作失误等线索。 然而,操作窗口正在收窄。每一次可追溯的链上交互都是证据节点。随着现货ETF等机构产品推动市场规范化,匿名活动与现实身份之间的鸿沟正逐步缩小。