从Tornado Cash到THORChain：黑客洗钱路线大迁移

撰文：Shannon@金色财经

2026年4月18日，Kelp DAO 遭遇的一场涉及 2.9 亿美元资产的惊天劫案，再次将DeFi的脆弱性推到了聚光灯下。

尽管这场危机在随后几天上演了史诗级的“集体营救”：Arbitrum 迅速行动冻结了黑客账户中 3 万多枚 ETH，而由生态多方组成的 DeFi United 联盟也在 Aave 发起了技术恢复计划，并成功募集到足以覆盖坏账的资金。

然而，在一片“损失已被覆盖”的乐观情绪中，一个令人不寒而栗的细节却被大多数人忽略了。

监测数据显示，在监管与治理的重重围堵下，黑客依然通过 THORChain 极其冷静且高效地完成了大规模资金转移。他们将剩余的 75,701 枚 ETH（约合 1.75 亿美元） 直接在链上兑换为原生比特币，从而彻底脱离了以太坊生态的监控视野。

这并非孤立事件。人们猛然惊觉，THORChain 已然在不知不觉中演变为黑客洗钱路径中的“终极枢纽”。翻开近两年的行业黑榜，其成功清单令人触目惊心：从 FTX 漏洞利用者（损失 1.24 亿美元），到震惊全球的 Bybit 黑客（损失超过 12 亿美元），再到 Balancer 漏洞利用者（损失 1.2 亿美元），这些顶级攻击者无一例外都选择了 THORChain 作为其最后的撤退路线。

当传统的中心化拦截和 Layer 2 冻结机制在这些“原生跨链”面前显得束手无策时，我们不得不重新审视：这个号称“不依赖包装资产、不设许可”的跨链巨兽究竟是如何崛起的？在它为行业带来流动性革命的同时，是否也由于其去中心化的极致追求，客观上为黑客资金铺设了一条通往自由的快车道？

一、THORChain的崛起

2022年8月，美国财政部OFAC将Tornado Cash列入制裁名单，认定其为帮助洗钱超过70亿美元的"非法金融工具"，其中包括数亿美元的朝鲜Lazarus组织盗窃资金。制裁意味着任何美国公民或实体与Tornado Cash的智能合约地址交互都属于违法。

制裁发出后，Lazarus组织迅速调整策略——停止使用Tornado Cash，转而依靠Sinbad.io（一个基于比特币的混币器）进行洗钱。

然而，2023年11月，Sinbad.io又被美国当局查封。失去了顺手的工具，Lazarus在2024年初短暂地回归使用Tornado Cash——毕竟这个协议运行在去中心化的智能合约上，无法被物理关停。

但真正的转折点出现在2025年：随着Bybit 14亿美元史上最大加密货币盗窃案的发生，THORChain以一种前所未有的规模浮出水面，成为朝鲜洗钱操作的核心基础设施。研究人员追踪到约12亿美元——占被盗资金的85%——流经这个网络。

所以，更精确的描述应该是：黑客的洗钱路线经历了"Tornado Cash → Sinbad.io（被查封）→ 短暂回归Tornado Cash → 大规模转向THORChain"的迭代演化，而不是一次简单的一对一替代。THORChain的崛起，是在制裁清洗了其他工具之后，监管打压的自然产物，同时也是THORChain自身架构特性使然。

另外还有一个细节值得补充。2025年3月21日，美国财政部在一项法院裁决后正式解除了对Tornado Cash的制裁，第五巡回上诉法院认定OFAC无权制裁Tornado Cash的不可变智能合约，因为这些合约不构成IEEPA下的"财产"。

这意味着Tornado Cash在法律层面重获自由——但黑客已经在THORChain上建立了更高效的洗钱管道。

二、利用THORChain转移资金的重大黑客攻击案件

金色财经整理了利用THORChain转移资金的一些黑客事件：

七个案件横跨2023年至2026年，读下来可以看出一条清晰的演化轨迹：

从工具选择来看，早期案件（Atomic Wallet、FTX）THORChain还只是多个工具之一，到Bybit案已经变成承担85%清洗量的绝对主力。

从攻击者行为来看，"攻击—沉睡—复活"的三段式策略越来越成熟，Balancer两次都用了5个月的休眠期，而KelpDAO案几乎是在攻击发生的同时就启动了洗钱，速度大幅提升。

一个值得注意的细节是，2026年4月24日，Balancer攻击者关联地址在Kelp DAO之后激活，再次向THORChain转移被盗资金。

更为雪上加霜的是，4月24日THORChain在官推宣布在未来几周接入ZCash原生兑换，4月27日表示Monero在THORChain上的实现比以往任何时候都更近了。

这意味着未来攻击者可以在ETH→BTC的基础上再追加一步ETH/BTC→ZEC或者XMR，利用ZCash的屏蔽交易或者XMR的隐私功能彻底切断链上痕迹，给本已困难的追踪工作再增一道屏障。

三、THORChain的运作原理：为什么它天然适合洗钱

要理解黑客为何选择THORChain，必须先理解它的技术架构。

基本定位：跨链版Uniswap

THORChain是一个独立的一层区块链，基于Cosmos SDK构建，采用CometBFT共识引擎和GG20门限签名方案（TSS），允许用户在无需中心化第三方的情况下，跨多条区块链交换原生资产。

这里有一个关键词需要强调：原生资产。不同于大多数跨链桥需要将BTC包装成WBTC，或将ETH包装成各种合成代币，THORChain实现的是真正的原生资产兑换——你发送真实的BTC，收到真实的ETH，全程无需信任任何中间人，无需接触任何包装代币。

核心机制：RUNE作为万能枢纽

THORChain使用连续流动性池（CLP）模式，其原生代币RUNE作为每笔兑换的中间结算资产。协议内的每个流动性池都由"某资产 + RUNE"配对构成，要求两者保持1:1价值比例。

当用户想将BTC兑换成ETH时，系统实际上执行了两步操作：首先在BTC/RUNE池中将BTC换成RUNE，然后在ETH/RUNE池中将RUNE换成ETH。对用户而言，这看起来是一次直接兑换，但在底层，RUNE扮演了所有资产之间的价值枢纽。

安全架构：门限签名与节点轮换

THORChain通过在多条链上分别运行的"Vault"（金库）来保管用户资产，这些金库由门限签名方案保护，意味着没有任何单一节点能够完全控制资金。节点运营者须质押大量RUNE代币作为保证金，若有恶意行为则面临惩罚（slashing）。同时，协议通过定期"洗牌"（churning）机制轮换节点，维持去中心化的网络结构。

流式兑换：大额资金的切片神器

2023年7月，THORChain推出了"流式兑换"（Streaming Swaps）功能，允许用户将大额交易拆分成一系列子兑换，分散在一段时间内执行，以获得更好的价格执行效果，减少价格滑点。

这个功能对于普通用户而言是体验优化，但对于洗钱者而言意义截然不同——它提供了一种将大额非法资金自动碎片化处理的工具，与手动分散资金到数千个地址的效果相近，却更高效、更隐蔽。

四、黑客为何转向THORChain：六个结构性原因

原因一：无KYC、无许可、无黑名单

这是最根本的原因。THORChain的官方标语甚至直接写着"抗审查基础设施"（censorship-resistant infrastructure）。其协议设计在技术层面不包含任何地址黑名单功能，任何钱包地址都可以无差别地使用。

与Tornado Cash相比，这一点尤其关键：Tornado Cash虽然同样是去中心化协议，但它的核心功能是"混币"——通过池化用户资金、打乱收款记录来实现匿名，这个模式天然地被监管机构识别为"专门为隐藏资金来源而设计的工具"。而THORChain的设计初衷是为了解决正当的跨链流动性问题，监管针对性相对较低。

原因二：原生跨链——切断追踪链条最有效的手段

跨链桥取代混币器成为洗钱首选工具，有其结构性原因：桥接能以混币器根本无法实现的方式打断线性交易追踪——让资金在不兼容的账本架构之间"链跳"（chain-hop）。大多数桥接协议以无许可智能合约的形式运作，本身没有侦测或冻结非法资金的设计，允许攻击者在任何警报触发前，将大量资金分散到数十条链上。

THORChain在这个维度上尤其强大：一笔ETH可以通过THORChain变成BTC，BTC再通过其他手段变成隐私币XMR，整个追踪链条在跨链的瞬间即告断裂——因为比特币区块链和以太坊区块链的交易历史是相互独立的，没有任何分析工具能原生地追踪跨链资金流转，只能依靠启发式方法推断。

原因三：规模足够大，大额资金不会"淹没"流动性

这是THORChain相比许多竞争者的独特优势。THORChain的流动性池在高峰期承载了数十亿美元的锁仓量，这意味着几千万美元的单笔兑换不会产生异常大的滑点，不容易被监控系统识别为"异常大额交易"。

相比之下，很多小型去中心化交易所的流动性深度不足，大额非法资金一旦流入，会立即造成价格扰动，反而留下明显的链上痕迹。

原因四：真正的去中心化让执法难以着力

当FBI等机构要求THORChain封锁与Bybit盗窃相关的钱包地址时，THORChain的节点运营者们拒绝了这一要求——部分节点运营者坚持认为，去中心化协议不应该选择谁可以或不可以使用它。

批评者指出，THORChain并没有它所宣称的那么去中心化。THORChain的节点运营者中有许多是公开身份的，且居住在美国等具有严格反洗钱法规的司法管辖区——这意味着他们在明知网络处理数亿美元朝鲜盗窃资金的情况下，仍然维持网络运行，链上记录清晰可查。

但这种不完全的去中心化，恰好构成了一个"灰色地带"：中心化到足以方便使用，去中心化到足以推卸法律责任。

原因五：监管的"打鼹鼠"游戏制造了需求

Lazarus组织的工具迭代轨迹堪称一部活生生的监管套利史：Tornado Cash被制裁→转向Sinbad.io→Sinbad.io被查封→短暂回归Tornado Cash→大规模转向THORChain。

每一次监管行动都将需求推向下一个可用工具，而THORChain作为目前规模最大、流动性最深的无许可跨链协议，恰好是下一个最合适的选择。

原因六：节点运营者有经济激励默许

这里存在一个令人不安的激励结构：THORChain的节点运营者为处理每一笔兑换都会收取手续费——包括黑客的兑换。Bybit被盗资金通过THORChain流转的数亿美元交易，为节点运营者带来了数百万美元的手续费收入。

Monero前首席维护者Riccardo Spagni的分析一语中的：美国当局之所以追查Tornado Cash的开发者，部分原因正是他们从Lazarus使用Tornado Cash中获得了直接经济利益。THORChain的节点运营者同样面临这个问题。

五、行业警示与未来走向

跨链桥取代混币器，成为近年来黑客最主要的洗钱基础设施，其中经THORChian流转的资金已经占到其中大部。

目前尚无迹象显示THORChain或其节点运营者在任何司法管辖区因其在Bybit黑客事件中的角色而受到调查。但如果负责执行制裁的当局决定采取行动，他们可以追查节点运营者——其中许多人是公开身份的，并居住在美国。

对THORChain而言，它正站在Tornado Cash曾经站过的历史节点上：面对一个根本性的问题——去中心化的金融基础设施，是否有责任，也是否有能力，拒绝处理来自制裁实体的资金？

正如THORChain社区开发者"TCB"在X上所警告的："当你绝大部分的交易流量都是人类历史上最大金融盗窃案的赃款时，这将成为一个国家安全问题。这不再是游戏了。"

历史会不会重演？Tornado Cash的开发者已经给出了一个答案。

THORChain的节点运营者们，或许需要在它真正成为国家安全问题之前，认真考虑自己的选择。