TL;DR
- THORChain已成为黑客洗钱的「终极枢纽」,Bybit(12亿)、Balancer(1.2亿)、FTX漏洞(1.24亿)、Kelp DAO(2.9亿)全部经由THORChain转移资产
- 洗钱路线从Tornado Cash迭代至Sinbad.io再到大转向THORChain,本质是监管打压下的「打鼹鼠」游戏
- THORChain的原生跨链架构、流式兑换碎片化、无KYC设计,构成了黑客洗钱的「完美基础设施」
一、从混币器到跨链桥:洗钱工具的进化史
黑客的洗钱路线,从来都是一部监管套利的活历史。
2021年,美国财政部OFAC将Tornado Cash列入制裁名单,认定其为帮助洗钱超过70亿美元的「非法金融工具」。2023年11月,Sinbad.io又被当局查封。2025年3月,第五巡回上诉法院虽然解除了对Tornado Cash的制裁——认定OFAC无权制裁不可变智能合约——但黑客早已在THORChain上建立了更高效的管道。
这条演化路径清晰得令人沮丧:
Tornado Cash → Sinbad.io → 短暂回归Tornado Cash → THORChain(当前绝对主力)
2026年4月的Kelp DAO案是最新也是最典型的案例。黑客在攻击发生的同时就启动了洗钱,将75,701枚ETH(约1.75亿美元)直接在链上兑换为比特币,彻底脱离以太坊生态的监控视野。
二、THORChain的技术架构:为什么它天然适合洗钱
2.1 原生跨链:切断追踪链条的最有效手段
THORChain是一个独立的一层区块链,基于Cosmos SDK构建,采用CometBFT共识和门限签名方案(TSS)。它的核心卖点是真正的原生资产跨链兑换——你发送真实的BTC,收到真实的ETH,全程无需任何包装代币。
这意味着什么?一笔ETH可以通过THORChain变成BTC,BTC再通过其他手段变成隐私币XMR。整个追踪链条在跨链的瞬间即告断裂——因为比特币区块链和以太坊区块链的交易历史是相互独立的。
2.2 RUNE:万能枢纽的结算逻辑
THORChain使用连续流动性池(CLP)模式,原生代币RUNE作为每笔兑换的中间结算资产。每个流动性池都由「某资产+RUNE」配对构成,要求两者保持1:1价值比例。
当用户想将BTC兑换成ETH时,系统执行两步操作:首先在BTC/RUNE池中将BTC换成RUNE,然后在ETH/RUNE池中将RUNE换成ETH。对用户而言看起来是一次直接兑换,但RUNE扮演了所有资产之间的价值枢纽。
2.3 流式兑换:大额资金的「切片神器」
2023年7月,THORChain推出「流式兑换」功能,允许用户将大额交易拆分成一系列子兑换,分散在一段时间内执行。
对于普通用户,这是体验优化;对于洗钱者,这提供了将大额非法资金自动碎片化处理的工具,与手动分散到数千个地址的效果相近,却更高效、更隐蔽。
三、黑客选择THORChain的六大结构性原因
原因一:无KYC、无许可、无黑名单
THORChain的官方标语是「抗审查基础设施」。协议设计在技术层面不包含任何地址黑名单功能,任何钱包地址都可以无差别使用。与Tornado Cash相比,THORChain的设计初衷是解决正当的跨链流动性问题,监管针对性相对较低。
原因二:规模足够大,大额资金不「淹没」流动性
THORChain在高峰期承载了数十亿美元的锁仓量,意味着几千万美元的单笔兑换不会产生异常大的滑点,不容易被监控系统识别为「异常大额交易」。
原因三:真正的去中心化让执法难以着力
当FBI要求THORChain封锁与Bybit盗窃相关的钱包地址时,THORChain的节点运营者直接拒绝了——他们坚持认为,去中心化协议不应该选择谁可以或不可以使用它。
原因四:监管的「打鼹鼠」游戏制造了需求
每一次监管行动都将需求推向下一个可用工具。Tornado Cash被制裁→转向Sinbad.io→Sinbad.io被查封→大规模转向THORChain。这个循环本身就是对监管的讽刺。
原因五:流式兑换=自动碎片化洗钱工具
这个功能原本是为了降低大额交易滑点,但客观上成了洗钱利器——自动将大额资金拆散,模拟多地址分散转账的效果。
原因六:即将接入ZCash和Monero
2026年4月24日,THORChain宣布未来几周将接入ZCash原生兑换,4月27日表示Monero实现比以往任何时候都更近了。这意味着攻击者可以在ETH→BTC的基础上再追加一步ETH/BTC→ZEC或XMR,彻底切断链上痕迹。
四、重大黑客案件时间线
| 时间 | 事件 | 损失金额 | THORChain使用情况 |
|---|---|---|---|
| 2023 | Atomic Wallet攻击 | 数千万美元 | 工具之一 |
| 2023 | FTX漏洞 | 1.24亿美元 | 工具之一 |
| 2025.2 | Bybit黑客案 | 12亿美元(史上最大) | 承担85%清洗量,绝对主力 |
| 2025 | Balancer第一次攻击 | 未披露 | 5个月休眠期后使用 |
| 2026.2 | Balancer第二次攻击 | 1.2亿美元 | 5个月休眠期后使用 |
| 2026.4 | Kelp DAO攻击 | 2.9亿美元 | 攻击同时启动洗钱 |
五、结语:DeFi的「不可能三角」
THORChain的故事揭示了DeFi世界的一个深刻矛盾:极致的去中心化和抗审查,与恶意行为的温床之间,只有一线之隔。
当协议设计者追求「无许可」、「抗审查」时,他们也在为恶意行为者铺设基础设施。THORChain并非为洗钱而生,但它的架构特性使洗钱变得前所未有的简单。
监管机构面临的困境同样严峻:每一次制裁都在推动创新——不是合法的创新,而是逃避监管的「创新」。Tornado Cash倒了,Sinbad.io兴起;Sinbad.io倒了,THORChain崛起。下一次会是什么?
答案可能不是另一个协议,而是一个彻底无法监管的地方——因为当资金可以在ETH、BTC、ZEC、XMR之间自由流转,且没有任何单一实体可以控制时,追踪和冻结都将变得毫无意义。
FAQ
Q: THORChain和Tornado Cash有什么区别?
Tornado Cash是混币器,通过池化资金打乱收款记录实现匿名;THORChain是跨链兑换协议,本质是解决不同区块链间资产流动的问题。但两者都被黑客用于洗钱,因为都具备抗审查、无需KYC的特性。
Q: 为什么黑客选择THORChain而不是其他跨链桥?
规模、流动性深度和原生资产设计。THORChain是规模最大的无许可跨链协议之一,大额兑换不会产生明显滑点;原生资产设计意味着无需包装代币,追踪链条更易断裂。
Q: THORChain会被制裁吗?
理论上可能,但难度极高。THORChain是真正的去中心化一层区块链,节点运营者分布在全球。2025年解除Tornado Cash制裁的法院裁决也增加了法律层面的不确定性。
Q: 流式兑换功能对普通用户有什么影响?
对普通用户,流式兑换提供了更好的大额交易价格执行效果,减少滑点。但这一功能客观上也方便了洗钱——自动碎片化大额资金。
信息源:
- 金色财经:从Tornado Cash到THORChain:黑客洗钱路线大迁移
- Chainalysis 2026 Q1 加密犯罪报告
- THORChain官方推特
本文仅供参考,不构成任何投资建议。Web3安全研究,2026年5月。
