某合约攻击者将95枚ETH存入Tornado Cash，价值约28万美元

从加密行业实践的角度看，这组信息揭示了一个长期且持续存在的技术现象：智能合约漏洞被利用后，攻击者普遍使用 Tornado Cash 进行资金清洗。本质上，这是区块链匿名性与资金可追溯性之间持续对抗的典型体现。

具体到这次事件，攻击手法涉及未初始化的 EIP-7702 委托合约。这类漏洞通常源于开发过程中的疏忽，未能正确初始化合约状态，导致权限控制失效。攻击者通过将自己设为所有者，获得了提取资金的权限。这种攻击并不新颖，但它再次提醒我们，合约部署前的审计和严格的状态检查至关重要。

纵观所有案例，Tornado Cash 几乎是所有攻击者清洗以太坊资金的首选工具。它的工作原理是通过打破存款地址与取款地址之间的链上关联，实现资金的匿名化。尽管它在技术上只是中立的隐私工具，但客观上已成为黑客洗钱的基础设施。从 Harmony 跨链桥的 1.8 万枚 ETH 到 Radiant Capital 的 2800 多枚 ETH，无论金额大小，攻击者最终都走向了类似的洗钱路径。

这些事件也反映了区块链安全领域的几个现实：首先，智能合约的安全风险始终存在，从简单的重入攻击到更复杂的治理机制漏洞，攻击面在不断演变。其次，尽管链上交易是透明的，但资金一旦进入混币器，追查难度便急剧增加。最后，这些重复发生的模式表明，整个生态在响应和缓解此类威胁方面仍然面临巨大挑战。

从更深层次看，这不仅是技术问题，也涉及行业治理与监管。Tornado Cash 作为工具，既服务于隐私需求，也被滥用从事非法活动。如何在保护用户隐私和防止犯罪之间取得平衡，是行业持续面临的难题。而对于项目方而言，强化代码审计、引入形式化验证，并建立应急响应机制，才是减少此类损失的根本途径。