bybit被盗50万枚以太坊，按照当前价格价值15亿美金，成为了加密历史上黑客攻击盗取金额最高的一次。除了关心bybit是否会破产，黑客如何清洗这笔巨大的“黑币”，也成为了加密社区感兴趣的话题。
据链上分析师 ZachXBT 监测，黑客将 5000 枚 ETH（以太坊）从被盗账户转移至新地址，并通过 eXch 这样的混币工具进行“洗钱”操作，最终资金流向比特币网络。
一般来说，黑客攻击获得的ETH流转往往遵循以下步骤：
1. 盗取 ETH 并转移到新地址（如 ZachXBT 监测到的 Bybit 资金流出）。
2. 使用混币工具（如 eXch、Tornado Cash）进行初步洗钱，但由于以太坊的透明性，资金仍然容易被标记。
3. 兑换为 BTC：黑客通常会通过去中心化交易（DEX）、跨链桥或 CEX（中心化交易所）进行兑换。
4. 比特币 UTXO 进一步切割：黑客可以利用 CoinJoin 这样的工具，进行多重 UTXO 拆分，让资金变得更加难以追踪。
5. 通过 P2P 或场外交易变现，避免链上记录直接指向黑客身份。
这让人不禁思考：为什么黑客更倾向于将赃款转换为 BTC，为什么ETH通过混币之后，还是容易被发现？表面上看，以太坊和比特币都是主流的加密货币，二者均具备高度的流动性和匿名性。但深入探究就会发现，其底层账户模型的差异，直接影响了黑客资金转移的难度。
加密货币网络的交易模式可以分为两种核心架构，第一种是比特币的 UTXO（未花费交易输出）模型，第二种是以太坊的账户/余额模型。下面，我介绍下这两种账户模型。
一、比特币的 UTXO 模型：碎片化隐匿性强
比特币的交易并不依赖于账户余额，而是使用“未花费交易输出（UTXO）”来构建新的交易。那么，这个UTXO，具体是什么？
UTXO（Unspent Transaction Output，未花费交易输出）是比特币交易的基本单位，它的工作方式类似现金找零。每一笔交易消耗（input）之前收到的 UTXO，并产生新的 UTXO（output）。比特币的 UTXO 就像现金支付。给大家举个例子说明下。
• 你去咖啡店买咖啡，拿出一张 100 元纸币（UTXO-0），支付 35 元，店家找零 65 元（生成新的 UTXO-1）。
• 你再去便利店买东西，用这 65 元付款，找回 10 元（又生成新的 UTXO-2）。
• 你的每笔支付都在消耗之前的钞票（UTXO），找零会产生新的 UTXO。
• 外部观察者可以看到每张钞票的流向，但无法确定是谁拥有这些钞票，因为这些钞票可能在不同人的钱包中流转。
也就是说，你的比特币地址里面，是由数个UTXO所组成，类似钱包里的零钱（5块，10块，100块等等），并且比特币的UTXO还可以无限打散和组合，钱包里的零钱可以是1.1块，99块这样，比特币地址的余额，则是这些没有发出的UTXO的总和。当黑客BTC流转的时候，会被打散至不同的UTXO，然后又与其他人的UTXO进行随机组合 ，最终混淆在一起。再加上比特币的混币工具CoinJoin、Wasabi Wallet等，可以进一步模糊资金走向。另外还有一点，由于比特币网络不支持智能合约，无法像以太坊那样，通过链上分析工具（如 Etherscan）精准标记被盗资金，使得追踪变得更加困难。
二、以太坊的账户模型：链上资金流动透明
以太坊采用类似于银行账户的账户/余额模型，所有交易都发生在账户之间，而账户的历史记录完全透明，资金流向可以轻松追踪。举例如下：
• 你的银行账户里有 100 元，转 35 元给咖啡店，账户余额变成 65 元。
• 余额是全局的，每次支付都会直接扣除账户余额。
• 所有交易链式相连，可以直接看到资金来源和去向。
也就是说，任何地址的余额可以直接查询，而无需解析 UTXO 数据。而且由于ETH的流转路径较为线性，黑客很难彻底抹去资金的历史来源。即便是通过混币工具，由于数量巨大，也更容易被发现。以太坊上的智能合约也会记录所有交互信息，甚至可以主动阻止某些“黑名单”地址的交互（如某些 DeFi 协议的风控机制）。像 Tornado Cash 这样的混币工具已被美国政府制裁，部分 DeFi 平台会直接屏蔽受监管机构标记的黑客资金，因此混币之后的以太坊也难以变现。
Bybit 事件说明，比特币的 UTXO 机制比以太坊的账户模型更适合隐藏资金流向，这也是黑客更愿意将赃款转换为 BTC 的主要原因。然而，随着链上分析工具的进步，即使是比特币 UTXO 交易，也越来越难逃避监管和追踪。最后留一个思考给大家：
对于被黑客盗取的资金，你认为应该坚持区块链的去中心化原则，使其无法被追踪，还是应该通过技术手段加以追踪？