TL;DR
2026年DeFi安全形势愈发严峻:Kelp DAO遭2.9亿美元劫案后,黑客通过THORChain将1.75亿美元ETH兑换为BTC彻底消失;Bybit黑客(12亿美元)、Balancer漏洞利用者(1.2亿美元)均选择THORChain作为终极撤退路线;THORChain宣布即将接入ZCash和Monero,意味着黑客可将资金彻底转换为隐私币消失。这不再只是DeFi的内部问题,而是正在演变为国家安全议题。
一、THORChain洗钱路线迭代史
美国OFAC 2022年8月制裁Tornado Cash后,黑客洗钱工具经历了以下迭代:Tornado Cash → Sinbad.io(2023年11月被查封)→ 短暂回归Tornado Cash → THORChain大规模采用。
2025年Bybit案是关键转折点:约12亿美元(占被盗资金的85%)流经THORChain网络,彻底奠定其”黑客洗钱终极枢纽”地位。
1.1 Kelp DAO事件:2.9亿美元的教训
2026年4月18日,Kelp DAO遭遇惊天劫案。攻击者在Unichain到以太坊的跨链桥路径上伪造入站数据包,导致116,500枚rsETH被非法释放。
尽管DeFi United联盟迅速发起恢复计划,但黑客依然通过THORChain冷静地将75,701枚ETH(约1.75亿美元)兑换为比特币,彻底脱离以太坊生态的监控视野。
二、THORChain的技术架构:为什么它天然适合洗钱
THORChain是一个独立的一层区块链,基于Cosmos SDK构建,采用CometBFT共识和GG20门限签名方案(TSS)。其核心创新是真正的原生跨链兑换——用户发送真实的BTC,收到真实的ETH,全程无需任何包装代币。
这种设计对普通用户是体验优化,但对洗钱者却是利器:原生跨链可以最有效地打断线性交易追踪,让资金在比特币和以太坊账本之间”链跳”,彻底切断追踪链条。
2.1 流式兑换:大额资金的切片神器
2023年7月THORChain推出的”流式兑换”(Streaming Swaps)功能,允许用户将大额交易拆分为一系列子兑换,分散在一段时间内执行,减少价格滑点。
对于洗钱者而言,这意味着可以将大额非法资金自动碎片化处理,与手动分散到数千个地址效果相近,却更高效、更隐蔽。
三、黑客选择THORChain的六个结构性原因
原因一:无KYC、无许可、无黑名单
THORChain的官方标语是”抗审查基础设施”,协议设计在技术层面不包含任何地址黑名单功能。任何钱包地址都可以无差别使用,完全不受监管约束。
原因二:原生跨链切断追踪链条
一笔ETH通过THORChain变成BTC后,整个追踪链条即告断裂——因为比特币和以太坊的交易历史相互独立,没有分析工具能原生追踪跨链资金流转。
原因三:规模足够大
THORChain流动性池在高峰期承载数十亿美元锁仓量,意味着几千万美元的单笔兑换不会产生明显滑点,不容易被监控系统识别为”异常大额交易”。
原因四:去中心化让执法难以着力
当FBI要求THORChain封锁Bybit盗窃相关钱包时,节点运营者直接拒绝。这种”灰色地带”——中心化到足以方便使用,去中心化到足以推卸法律责任——正是黑客需要的。
原因五:监管”打鼹鼠”游戏制造需求
每一次监管行动都将需求推向下一个可用工具。Tornado Cash被制裁→Sinbad.io被查封→THORChain崛起,这条路径是监管打压的必然产物。
原因六:节点运营者有经济激励默许
THORChain节点为每笔兑换收取手续费,包括黑客的兑换。Bybit被盗资金流转的数亿美元为节点带来数百万美元收入,利益冲突显而易见。
四、Aave rsETH修复方案:DeFi自救机制启动
针对Kelp DAO事件中被非法释放的116,500枚rsETH,DeFi United联盟已发布完整技术恢复方案:
第一步:恢复rsETH储备支持——向跨链桥锁仓合约存入ETH,分批转换为rsETH;
第二步:清理受影响头寸——在Aave以太坊和Arbitrum市场执行受控清算,回收约13,000枚ETH;
第三步:恢复正常运营——取消冻结状态,恢复正常LTV参数。
该方案的关键承诺是:不造成损失分摊(socializing losses),预计Aave协议不会产生任何持久配置更改。
五、毒舌点评:当”抗审查”成为”洗钱便利”
说实话,看到THORChain节点运营者”理直气壮”拒绝FBI封锁请求时,我感到一种荒诞的讽刺。
“去中心化”曾是Web3对抗审查的旗帜,如今却成了黑客洗钱的挡箭牌。当一个协议95%的交易流量都是人类历史上最大金融盗窃案的赃款时,这已经不是”技术无罪”的问题了——这是明知故犯。
THORChain社区开发者”TCB”在X上的警告一针见血:”当你绝大部分的交易流量都是人类历史上最大金融盗窃案的赃款时,这将成为一个国家安全问题。这不再是游戏了。”
2025年3月,美国法院解除了对Tornado Cash的制裁,理由是OFAC无权制裁不可变的智能合约。法律层面Tornado Cash重获自由,但黑客已经在THORChain上建立了更高效的洗钱管道。
历史会不会重演?Tornado Cash的开发者已经给出了答案。THORChain的节点运营者们,或许需要在它真正成为国家安全问题之前,认真考虑自己的选择。
毕竟,去中心化的尽头不是无法无天,而是更高维度的责任。
六、FAQ
Q1:普通用户在DeFi借贷协议存款还安全吗?
本次事件受影响的主要是rsETH相关头寸,纯稳定币存款风险较低。但建议分散在多个协议存放,避免单一协议风险集中。
Q2:THORChain会被制裁吗?
可能性存在,但相比Tornado Cash更难——THORChain节点运营者分布更广,且其”正当跨链兑换”的设计初衷比混币器更具辩护空间。
Q3:未来黑客洗钱会消失吗?
只要DeFi存在,跨链兑换需求就不会消失。监管会持续”打地鼠”,但技术会不断迭代。问题的根源在于:完美的隐私与完美的监管本身就是一对矛盾。
Q4:rsETH会恢复正常吗?
DeFi United的恢复方案正在执行中,预计短期内可以恢复足额抵押。但事件对市场信心的影响需要更长时间消化。
