$10M 被盗的以太坊消失在Tornado Cash中：2024年3月黑客事件揭示的智能合约风险

还记得2023年9月那场$24 百万级的钓鱼灾难吗？其实，事情还没有结束。3月21日，CertiK发现黑客终于开始将3700 ETH（按当前价格计算）转入Tornado Cash——一个旨在模糊交易轨迹的混币服务。这不是随机行动，而是典型的洗钱手法，展示了被盗加密货币最终如何被洗白。

攻击手法揭秘

事情的经过是这样的：一名加密货币大户授权了一笔看似普通的“增加授权额度”交易。听起来无害，对吧？但实际上，这个授权允许黑客通过恶意智能合约直接从他们的钱包中提取ERC-20代币。在两个阶段中，攻击者从Rocket Pool的质押服务中窃取了9579个stETH和4851个rETH。

PeckShield的数据还显示，黑客随后将这些资金转换成了13785 ETH和164万DAI，并将资金分散到多个钱包和交易所。这是典型的洗钱操作。

代币授权成加密货币的致命弱点

令人担忧的是，这并不是孤立事件。Scam Sniffer的报告显示，2023年2月，仅在以太坊上就有78%的钓鱼事件发生。为什么？因为大多数用户根本不知道自己在签署什么授权。

就在这次黑客事件发生几天后，Dolomite交易所也被利用旧合约漏洞攻击——180万美元被盗，原因是用户忘记了几个月前授予的权限。教训是：每一次代币授权都可能成为后门。

好消息

并非所有黑客攻击都以全损告终。Layerswap的团队在数小时内发现了被入侵的网站，限制了损失，仅影响了50名用户。他们甚至在赔偿受害者——在加密安全领域，这样的胜利并不多见。

这对你意味着什么

这个反复出现的模式很清楚：黑客不一定总是破解代码，他们更擅长利用用户的行为。在你批准任何合约之前，问问自己：我知道这到底做了什么吗？我以后还能撤销吗？更好的是，在签署任何可疑操作前，先用地址权限检查工具确认一遍。一个30秒的验证步骤，可能就能避免一场灾难。