攻击者通过混币器转移大量被盗ETH，资金去向愈发隐蔽

与UXLINK漏洞事件相关的地址已将3,700枚ETH注入Tornado Cash，标志着资金从公开钱包集群中彻底脱敏。尽管交易记录仍可追溯，但该操作切断了原始攻击钱包与最终收款方之间的直接映射关系，显著压缩了交易所、监管机构及项目方的干预空间。

前期资产置换降低风险敞口，为后续洗钱铺路

在此次转账前，攻击者已在数月内完成多轮资产转换。今年3月，一个关键钱包将5,496枚ETH兑换为约1,100万DAI，此前还将其持有的248枚WBTC转为近2,300万DAI。此举有效规避了价格波动带来的风险，同时维持资金流动性，为后续复杂洗钱流程奠定基础。本次存入Tornado Cash表明，部分资产已进入深度混淆阶段。

九月漏洞引发代币生态连锁崩塌

2025年9月22日，UXLINK披露其多重签名钱包存在严重缺陷，攻击者借此获取管理权限，并通过中心化与去中心化平台转移资产。更严重的是，该权限被用于未经授权地铸造大量新代币并注入流动性池，导致价格暴跌。项目方被迫暂停交易、更换合约，并启动持有者迁移计划。初期国库损失估值偏低，综合非法铸造、代币销售及二级市场贬值后，总损失接近4,200万美元。项目方确认初始入侵源于个人设备泄露，非核心系统漏洞。新合约已部署以移除被利用的控制路径。

朝鲜威胁行为者特征明显，追索面临结构性障碍

此次攻击被评估可能与朝鲜背景黑客有关，虽无官方机构明确定责，但其资金流转路径与多起已知朝鲜相关网络攻击高度吻合：先聚合为ETH，经由流动性协议兑换，分散至多个新钱包，最终借助混币器或跨链通道实现匿名转移。类似案例如KelpDAO事件中，约2.2亿美元资金经由Tornado Cash、THORChain、Wasabi和Umbra等工具完成清洗。一旦资金穿越多层隐私保护，直接冻结几乎不可能，追回依赖于攻击者在后续交易环节暴露身份。此次3,700枚ETH的存入使原始钱包网络中的可监控余额大幅减少，当前焦点转向剩余未动用资金及Tornado Cash提款后的最终落地节点——尤其是是否连接至可被冻结的交易所、跨链桥或经纪商。