沉默了将近五个月之后，那个在2025年11月卷走约9800万美元资产的Balancer黑客，终于按下了“继续”键。链上长时间一片死水的地址，在2026年4月24日突然活跃起来——不是试探性的小额转账，而是一记直接砸向市场情绪的、大规模资产腾挪。

余烬（@EmberCN）的监测显示，从4月24日起，黑客开始通过去中心化跨链流动性协议 THORChain，将手中的ETH分批跨链兑换为BTC。短短两天时间里，他已经把约14300枚ETH换成了约419.3枚BTC，按当时价格估算市值约3251万美元。这条资金流经由THORChain完成，不依赖传统中心化通道的特征，也让整个操作显得更加难以被单点阻断。

截至4月25日，黑客在以太坊上仍握有约7700枚ETH，在比特币链上则新增持有约419.3枚BTC，两部分资产合计市值约5040万美元。与攻击发生时约9800万美元的账面规模相比，这笔赃款已经明显缩水——一部分是价格回调带来的“被动蒸发”，一部分则是如今主动跨链换仓后、风险轮盘继续转动的结果。

多家中文媒体迅速引用了余烬的链上数据，THORChain的角色、后续是否会继续抛压、还能否被有效追踪，重新被拉到聚光灯下。身份、国籍、组织归属一切仍然是空白，这个曾经凭一轮攻击轰动市场的地址，如今只留下一个新的悬念：从ETH换到BTC之后，他下一步究竟想做什么？

9800万劫案后的五个月静默

要把这次突然的集中换币行动看清楚，时间得先拨回到2025年11月。那时，作为老牌去中心化交易协议之一的 Balancer 被人从背后捅了一刀——合约被攻破，约9800万美元资产在短时间内被转走。当时 ETH 均价大约在每枚3600美元，这意味着，黑客一口气攫取的是一笔可以折算为“数万枚 ETH 级别”的筹码，在当年的 DeFi 安全事故名单上，这一行数字足够刺眼。

攻击刚发生的那几天，链上社区经历了熟悉的流程：项目方紧急排查、安抚，安全团队连夜做复盘，媒体把“9800万美元”拉到标题最前面。各种猜测在社交媒体上来回穿梭——有人盯着攻击路径，有人试图从链上行为画像黑客身份。但很快，人们发现另一个更反常的细节：这名拿走了巨额 ETH 的攻击者，并没有像以往许多案件那样迅速分散、分批转移筹码，而是几乎就地“按下了暂停键”。

从 2025 年 11 月到 2026 年 4 月中旬，涉案地址在链上没有出现持续性的大额资金转移。监测面板上的曲线，在最初的骤然拔高之后，像被人为掐断一样，重新变成一条平静的线。没有频繁的小额拆分，没有复杂的多跳混淆路径，也看不到急于“洗白”的典型迹象——对于一个掌控近亿美元筹码的攻击者来说，这种几近“装死”的状态，本身就不合常理。

时间拖长之后，舆论的注意力开始向别处游移。新的漏洞、新的损失不断涌现，Balancer 那笔 9800 万美元劫案逐渐被归入“历史案件”一栏。对多数旁观者而言，这像是一个被无限搁置的案子：黑客不出手，监管与安全团队也缺乏新的突破口，链上只剩下一串静止不动的地址，和一笔看似被永远封存的赃款。

这种长达约五个月的沉寂，让很多人下意识地产生了一种错觉——也许黑客已经放弃，也许这笔钱会就这样躺在链上，成为教科书式的“冷案”。直到 2026 年 4 月 24 日，这个印象被突然打破：相关地址开始通过 THORChain 发起跨链兑换操作，沉睡许久的 ETH 余额被迅速激活，分批被换成 BTC，标志着资金运动的重新开启。

从“几乎没有动静”到“密集兑换”，节奏变化得近乎粗暴。五个月里，监测者习惯了那串地址的一动不动，哪怕偶有零星操作，也不足以打破“沉寂”的叙事；而在 4 月 24 日之后，市场看到的却是一场有组织的集中换币：约14300枚 ETH 在短时间内被兑换为约419.3枚 BTC，动作之大、节奏之快，与此前的克制形成鲜明反差。

也正是这道从静默到爆发的断裂，让这次资金调度被放大审视——同样是那批在 2025 年 11 月一把卷走9800万美元的筹码，同样是那串长时间一动不动的地址，只是当它终于选择打破沉默，整个故事的紧张感，似乎又被硬生生拉了回来。

黑客为何绕开交易所选THORC

要理解黑客这次为何选择通过 THORChain 来完成那 1.43 万枚 ETH 向 BTC 的跨链兑换，先得搞清楚这条通道究竟和传统出金路径有什么不一样。

THORChain本质上是一个去中心化跨链流动性协议，它做的事情很直接：在比特币、以太坊等多条公链之间，提供原生资产对原生资产的兑换。用户不需要把 BTC 封装成某种代币，也不需要把 ETH 托管给某家中心化机构，再由对方在目标链上“划账”；资金打进 THORChain 在对应链上的流动性池，协议层按照链上规则完成结算，最后在目标链上收到的就是那条链上的原生资产——比如从以太坊进，直接在比特币链上出 BTC。与依赖托管资产或封装代币的跨链桥相比，THORChain 的设计目标是不依赖单一中心化托管方，部分资料甚至将其描述为“不涉及第三方铸币或托管”，但这一表述目前仅见于单一来源，仍有待进一步验证。

这和黑客最熟悉、也是监管最熟悉的那条路——中心化交易所——显然是两套完全不同的逻辑。中心化平台要求开户、做 KYC，进出金都在一家公司可控的数据库里留下痕迹，一旦身份信息和链上地址串联起来，整条资金路径就会变成“有名有姓”的案件线索。更现实的是，只要资金真的打进交易所，平台有权直接冻结可疑资产，配合执法部门调查。对于掌握大额赃款、又已经被链上社区高度关注的攻击者来说，走这条路几乎是在把主动权拱手交出。

跨链桥看上去更“去中心化”一些，但实际执行时往往要依赖一个集中托管点：资产被锁在源链的合约里，在目标链铸造出对应的封装代币。这种模式意味着，只要那个托管点、那个合约出了问题，或者被监管重点盯上，整条资金通道就可能被掐断。相比之下，THORChain 这类原生跨链流动性协议，把资金拆散进多个链上池子，通过链上共识和流动性激励来撮合兑换，黑客面对的就不再是一家可以直接“按下暂停键”的对手，而是一整套分布式的规则。对追踪方而言，这并不是完全不可见，但要精准干预其中某一个环节，要比给某家平台发一纸协查函困难得多。

把这套架构放回 Balancer 事件的时间线上，就更容易看清黑客的取舍：在沉默了近五个月之后，他没有选择把 14300 枚 ETH 打进任何一家大型交易所，而是从 4 月 24 日起，沿着 THORChain 这条路径，分批换成了约 419.3 枚 BTC。链上分析师余烬（@EmberCN）对这条资金路径进行了持续监测，多家中文媒体引用了他的数据：同样是跨链、同样是资产转换，黑客刻意绕开了集中托管和实名制这两个最敏感的环节，把风险尽可能留在协同成本更高的链上世界。

这并不是 THORChain 第一次出现在攻击资金的迁徙路径中。此前，公开报道中已经多次出现类似案例：被盗资产在源链上“躺平”一段时间后，突然启动跨链和资产转换，而 THORChain 或类似协议往往是那条关键的换轨通道。随着 Balancer 事件中这 1.43 万枚 ETH 再次通过 THORChain 完成跨链，围绕它的争议也被推到了更刺眼的位置——在支持者眼中，这是少数能在多条公链之间直接撮合原生资产、保护用户财产自主权的基础设施；在担忧者眼里，它则是提升执法追踪难度、给大额可疑资金“换轨”的新工具。监管与隐私、追责与去中心化，在 THORChain 这一节点被拧成了一根更紧的绳索，而 Balancer 黑客只是又一次把这根绳索拉到了所有人眼前。

1.43万枚ETH出逃，市场如

THORChain 这条“换轨通道”被真正压上了重量：从 4 月 24 日到 25 日，Balancer 黑客通过它把约 1.43 万枚 ETH 换成了约 419.3 枚 BTC，对应价值大约 3,251 万美元。单看数字，这不是那种“几百枚试探性转账”，而是一笔可以在任意一个主流资产的盘口里砸出水花的体量。它究竟能在盘面上掀起多大浪头，则取决于当时 ETH 交易对的真实成交量和深度——这些具体的盘面数据需要由下游在写作当日补充，并明确标注来源。

从情绪上讲，市场面对的不是一笔普通卖单，而是“赃款套现”。当链上监测账号开始连续播报“黑客再次抛售 X 枚 ETH”，这本身就是一种额外的压力：哪怕当下深度足够、价格波动被平滑掉，交易者也会本能地把这 1.43 万枚 ETH 视作一次性释放的抛盘信号，把后续持仓的 7,700 枚 ETH 视作一把仍悬在头顶的刀。只要这些筹码还在以太坊上、还没有被完全换出，每一轮新的链上动向，都可能被解读为“下一脚砸盘”的前奏，在时间维度上拉长了恐慌与观望。

更微妙的是，黑客最终兑现到手里的筹码总价值，其实已经不像 2025 年 11 月那样“惊心动魄”。从最初攻击时约 9,800 万美元的账面数字，到目前两条链上合计约 5,040 万美元的持有价值，中间的缩水，很大一部分来自这几个月里 ETH 价格本身的回调。这意味着，即便黑客此刻砸出所有剩余 ETH，也难以重现当初那种“单一地址控盘巨额资产”的想象空间，但对短线交易者而言，那 7,700 枚尚未移动的 ETH，仍然是需要被折价计入的潜在抛压。

被换走的一端，是 ETH 的卖压；被换到的一端，是 BTC 的筹码。约 419.3 枚 BTC、价值同样在 3,000 万美元级别，放在比特币这条更深、更宽的流动性河道里，显得没那么“扎眼”——它更像是一位中等体量鲸鱼的筹码，而非足以扭转行情的超级巨鲸。但这不代表可以完全忽略：一旦市场确认这些 BTC 仍掌握在黑客手中，它们就会被贴上“高风险库存”的标签，进入各类风控模型和舆论叙事。未来无论是被分拆后慢慢卖出，还是集中转移到新的出货场所，都会被视作 BTC 侧的边际抛压来源，只不过这一次，压力的载体从 ETH 变成了 BTC。

归根结底，这 1.43 万枚被换走的 ETH 和那 7,700 枚仍静卧链上的 ETH，共同构成了一个新的不确定性：黑客资产不再沉睡，而是在更深的全球流动性网络中重新寻找出口。至于这波资金出逃，究竟在 ETH、BTC 的短期价格上留下了多长的“阴影”，需要结合事件发生当日两大资产的成交量、买卖盘深度等实时数据才能判断，下游在补充这部分信息时，也必须清晰标明数据来源与时间截面。

链上猎人与去中心化迷雾对峙

真正把这轮资金异动从冷冰冰的交易记录，拉到公共视野里的，是一个人：链上分析师余烬（@EmberCN）。

自 4 月 24 日起，当相关地址开始通过 THORChain 分批把 ETH 换成 BTC 时，他几乎是第一时间在社交媒体上给出了“现场解说”。在他的时间线上，资金路径被拆解成一条条可以复盘的链路：从早前与 Balancer 攻击相关的持币地址起步，流向跨链兑换的入口，再到 THORChain 上完成 ETH→BTC 的转换，最后落到比特币链上的收款地址——原本只属于少数专业团队的监测视角，被他以线程、长图的方式摊开在公众面前。

截至 4 月 25 日，他披露的关键数字——约 1.43 万枚 ETH 已被兑换为约 419.3 枚 BTC，剩余约 7700 枚 ETH 仍留在以太坊上——为外界勾勒出一幅新的资产分布图，也让这次“出逃”不再只是抽象的风险预期，而是有了清晰的量化轮廓。需要强调的是，围绕更细粒度的细节，比如某些疑似中转地址、精确到小时的换币节奏，目前主要来源于余烬等少数链上情报账号的公开分析，下游引用时只能视作“待验证信息”，必须标注来源与可信度，而不能直接上升为已被多方证实的事实。

当链上猎人画完这张图，扩音器很快接力。Foresight News、深潮 TechFlow、PANews、Odaily 星球日报等中文媒体几乎同步转引余烬的监测数据，把他原本面向圈内的监控截图与线程，变成了“黑客抛售 1.43 万枚 ETH”“THORChain 再成跨链出口”之类的标题。技术追踪，被翻译成了可以快速传播的叙事——在图表和简化后的数字里，黑客的“醒来”“跑路”“抄底 BTC”这些拟人化的说法，开始压过底层的协议细节，事件影响也随之被放大。

这种放大并非只有情绪层面。媒体在报道中不断强调两组信息：一是黑客当前在两条主流公链上的持仓规模——以太坊上约 7700 枚 ETH，比特币上约 419.3 枚 BTC，总值约 5040 万美元，较 2025 年 11 月攻击发生时约 9800 万美元的账面价值已经明显缩水；二是这批资产的主要跨链通道是 THORChain，而非传统中心化平台。前者强化了“账面亏损”“时间成本”的舆论印象，后者则把讨论焦点引向另一个更棘手的问题：在这种架构下，传统意义上的监管和追逃，究竟还能做什么。

THORChain 之类的协议，用的是另一套逻辑：通过智能合约和节点网络，以去中心化的方式提供跨链流动性，不依赖单一的集中托管账户。对普通用户而言，这意味着“不用把资产交给某家平台托管也能完成跨链兑换”；对试图追踪、冻结黑客资产的执法机构而言，这则意味着过去那些行之有效的路径——要求交易所冻结账户、从托管人处调取记录、通过集中清算层施压——在这里大多失效。

公开信息显示，截至目前，并没有任何权威渠道确认已有机构成功冻结本案相关资产，黑客兑换出的 BTC 也没有被证实被卡在某个传统平台上。这并不意外：在类似 THORChain 的架构里，资金在多个节点和链之间通过合约自动撮合流转，并没有一条“可以被下指令”的主控链路。链上数据固然暴露了黑客的每一次大额转换，但“看见”并不自动等于“拦住”，尤其是在流动性本身就散落在去中心化节点手中的前提下。

于是，画面变成了这样一种对峙：一边是余烬这样的链上猎人，用公开账本、标签体系和数据分析，把黑客的行踪尽可能透明化；另一边是以 THORChain 为代表的去中心化流动性网络，在设计上努力剥离单点控制权，让任何一只“看得见的手”都很难直接伸进系统内部。媒体的聚光灯让这场博弈被更多人看见，也让一个更尖锐的问题浮出水面——在这样的技术栈下，传统执法到底还能介入到什么程度，还是只能在链上留下越来越密集却难以落地的“追踪报告”。

剩余7700枚ETH悬在市场头

从2025年11月那笔价值约9800万美元的攻击开始，故事的主线其实一直没变：一笔庞大的被盗资产，被锁进少数几个地址里，像一块随时可能砸下来的石头，悬在整个市场头顶。攻击发生时，ETH 均价在约3600美元附近，黑客手里的筹码账面上极为可观；此后近五个月里，这些地址几乎没有持续性的大额转移，链上只留下零星动静，事件在舆论层面逐渐降温，但那块“石头”并没有消失，只是静止在空中。

直到2026年4月24日，沉寂被打破。相关地址开始通过 THORChain 这样的跨链流动性协议，将手中的 ETH 分批换成 BTC，资金运动重新加速被记录在链上。短短两天时间里，约14300枚 ETH 被兑换成约419.3枚 BTC，按当时价格估算约3251万美元。这一串交易轨迹被链上分析师余烬（@EmberCN）捕捉并公开，多家中文加密媒体跟进报道，久未提及的 Balancer 攻击案被重新拉回聚光灯下。

当镜头调回现在，黑客的账本已经从当初接近“纯 ETH 仓位”，变成一半在以太坊、一半在比特币：链上显示，其仍在以太坊地址中持有约7700枚 ETH，在比特币链上持有约419.3枚 BTC，合计市值约5040万美元。与起点的约9800万美元相比，这是一笔实实在在的缩水——既有 ETH 价格回调的因素，也有“换币过程本身没能弥补损失”的现实。对市场来说，更具冲击力的不是这笔账算得有多“亏”，而是一个事实：这5000多万美元的资产，仍掌握在攻击者手中。

尚未处置的约7700枚 ETH，是悬在市场头顶最直观的筹码。一旦有进一步大额变现或跨链操作，短时间内势必制造新的舆情波动，而换得的 BTC 则把这道阴影从以太坊延伸到了比特币生态——两条链上，都存在着一笔“来源问题明确、去向不明朗”的巨额资产。它们未必会在某个具体价位砸向市场，但只要停留在攻击者地址里，就会被视作潜在抛压和监管追踪博弈的核心筹码。

围绕这起事件，外界已经开始拉长视角。一些分析会把它拿来和其他 DeFi 攻击（如 KelpDAO 事件）并置，推测黑客是否在“借鉴”前例，但目前这些更多是评论与假设，而非被证实的事实。可以确定的是：从 Balancer 被黑，到五个月的链上静默，再到 4 月下旬通过 THORChain 集中换币，这条路径已经成为安全团队、协议开发者和监管侧共同复盘的案例样本。

对 DeFi 来说，冲击不只在于又一次“被成功攻击”，而在于攻击之后发生了什么：攻击者可以在相当长的时间里保持隐身状态，等待合适窗口，再借助跨链流动性网络完成资产结构重组，同时避开传统中心化通道的直接风控。这迫使协议设计者重新审视：权限管理、风险隔离、攻击面暴露到底该做到什么程度；跨链协议在追求开放和去中心化时，是否需要在协议层、治理层预留更多与安全、合规对话的接口。

至于监管协同，Balancer 事件给出的提醒同样直白：在这样的技术栈下，单一司法辖区、单一机构的力量极其有限。追踪可以跨链、跨时区地进行，冻结和追回却必须穿越一个个现实世界的边界。如何在不扼杀开放网络的前提下，让不同国家和地区的执法、监管形成真正可执行的协同，而不是停留在事后报告和链上数据截图，正是这起事件留给所有参与者的长期题目。

黑客是谁、身在何处、下一步打算做什么，目前都没有权威结论。可以被看清的只有冰冷的链上数字：行踪已被反复标记的419.3枚 BTC，以及那仍安静躺在以太坊上的约7700枚 ETH。它们像一条未完结的线索，也像一面镜子，照出的是 DeFi 安全假设的薄弱处、跨链协议设计的棱角，和现实世界监管在新范式面前的迟疑与空白。

加入我们的社区，一起来讨论，一起变得更强吧！
官方电报（Telegram）社群：https://t.me/aicoincn
AiCoin中文推特：https://x.com/AiCoinzh
OKX 福利群：https://aicoin.com/link/chat?cid=l61eM4owQ
币安福利群：https://aicoin.com/link/chat?cid=ynr7d1P6Z

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。