黑客利用 Tornado Cash 隐藏 650 万美元非法资金，加密隐私与监管冲突升级

根据区块链监控平台 PeckShield 和 Paidun 的数据，一名黑客通过攻击去中心化金融（DeFi）协议 ResupplyFi 窃取了 960 万美元，并将其中的 1,607 ETH（约合 650 万美元）存入 Tornado Cash。Tornado Cash 是一种以隐私为核心的加密货币混合器，能够隐藏交易轨迹。

这些被盗资金源于 2025 年 6 月的一次针对 ResupplyFi wstUSR 市场的价格操纵攻击。攻击者利用闪电贷人为抬高 wstUSR 的价值，通过极低的抵押品实现了约 1000 万美元 reUSD 的未经授权提取。

Tornado Cash 使用零知识证明技术，允许用户将资金存入并提取到新地址，从而切断发送方和接收方之间的链上连接。该平台曾在 2022 年因涉嫌协助洗钱而受到美国制裁，但在 2025 年 3 月被美国财政部除名，原因是美国第五巡回法院裁定智能合约不受《国际紧急经济权力法》的制裁。

这一法律转变再次引发了关于去中心化工具监管的激烈争论。批评者认为，对代码本身的制裁可能抑制技术创新，而支持者则强调打击非法金融活动的重要性。

安全公司 Cyvers 的分析显示，ResupplyFi 漏洞的核心在于其预言机机制中的弱点——这是 DeFi 协议中反复出现的问题。黑客通过操纵内部代币估值窃取资金，并绕过了破产检查。被盗资产最初被兑换为 ETH，随后分散到两个地址，最终汇入 Tornado Cash。

ResupplyFi 在事件发生后暂停了受影响的智能合约，并确认只有其 wstUSR 市场遭到攻击。该协议尚未发布完整的事后分析报告，但表示其他市场仍然安全。

此次事件进一步加剧了 2025 年加密货币领域的黑客攻击趋势。CertiK 报告称，截至今年，黑客攻击已造成超过 21 亿美元的损失，主要手段包括社会工程学和供应链攻击。分析师警告称，依赖合成资产和预言机机制的 DeFi 协议仍然面临高度风险，并建议加强输入验证和实时异常监控。

ResupplyFi 案件凸显了加密货币领域隐私与监管之间的紧张关系。尽管 Tornado Cash 的制裁解除被视为开源开发者的胜利，但美国司法部仍持续追查利用去中心化平台的个人行为者。近日，Tornado Cash 联合创始人 Roman Storm 和 Roman Semenov 因涉嫌参与洗钱超过 10 亿美元被盗资金而遭到起诉。

随着法律环境的不断演变，如何在金融隐私与合规之间取得平衡仍然是一个备受争议的问题，这对去中心化金融的未来具有深远影响。