$10M 被盜的以太幣消失在Tornado Cash中：2024年3月黑客事件揭示的智能合約風險

還記得2023年9月的$24 百萬級釣魚災難嗎？事態還沒結束。2024年3月21日，CertiK 發現黑客終於將3700 ETH（按當前價格計算）轉入Tornado Cash——一個用於混淆交易痕跡的混合服務。這不是隨意的舉動，而是典型的洗錢手法，展示了被盜加密貨幣最終如何被洗白。

攻擊手法揭秘

事情的經過是這樣的：一個加密貨幣大戶（whale）授權了一筆看似例行的「增加授權」交易。聽起來無害吧？錯了。這個授權讓黑客可以用惡意智能合約直接從他們的錢包中提取ERC-20代幣。在兩個階段中，攻擊者從Rocket Pool的質押服務中抽走了9,579個stETH和4,851個rETH。

PeckShield的數據顯示，黑客隨後將這些資金轉換成13,785 ETH和164萬DAI，並將資金分散到多個錢包和交易所。這是典型的洗錢手法。

代幣授權成為加密貨幣的致命弱點

令人擔憂的是，這並非孤立事件。Scam Sniffer的報告指出，僅在2月份，就有78%的釣魚事件發生在以太坊上。為什麼？因為大多數用戶根本不知道自己在簽署什麼授權。

就在這次黑客事件幾天後，Dolomite交易所也被利用一個老舊合約漏洞，導致用戶的資金被盜走了180萬美元，原因是他們忘記幾個月前已授權過某個合約。教訓是：每一次代幣授權都可能成為潛在的後門。

好消息

並非所有黑客攻擊都以全數損失告終。Layerswap團隊在數小時內就發現了被入侵的網站，將損失限制在50名用戶之內。他們甚至開始退款，這在加密安全事件中是少見的正面例子。

這對你意味著什麼

重複出現的模式很清楚：黑客不一定是破解代碼，他們更善於利用用戶的行為漏洞。在你批准任何合約之前，問問自己：我真的知道這個合約在做什麼嗎？我可以稍後撤銷嗎？更好的是，在簽署任何可疑交易前，先用地址授權檢查工具確認一下。只需30秒的驗證步驟，可能就能避免一場災難。