2020年9月25日，社交媒體傳出，有用戶被tomatos.finance盜取1萬DAI。該騙局的主要方式是以空投誘導用戶approve給權限，然後直接轉走代幣。空投是騙局，暫未收到代幣。 tomatos.fi是流動性挖礦項目，疑似是來自某中國團隊。

經與多家安全公司核實，截止發稿前，有多名用戶被tomatos.finance盜取穩定幣，遭遇巨額損失。

吳說區塊鏈採訪了其中一個遭遇tomatos.finance黑客盜幣的用戶（簡稱A用戶），對整個事件進行回顧：

A用戶於事發前幾天登錄tomatos. Finance授權使用imtoken錢包。在北京時間2020年9月26日23時左右，登錄imtoken，存入DAI，黑客創建了tomatos.finance的合約，調用了DAI的合約，只要錢包有DAI存入，就被黑客轉走，從DAI轉入錢包到黑客轉走大概持續10分鐘時間。錢包後台是unlimited的設置。 A用戶損失將近1,350,000 個DAI。 .

二級標題

二級標題

0x917a417D938B9F9E6ae7F9e5253FB6DE410343e3

回溯整個過程，黑客如何利用Defi來洗幣？

1. DAI是現在唯一不會被列入黑名單，不可凍結的穩定幣。黑客將用戶A錢包的700,000 DAI，600,000 DAI 和5,000 DAI分別轉入地址：0x917a417D938B9F9E6ae7F9e5253FB6DE410343e3

哈希記錄如下：

0xc16a25e3745c6025363b2b607e9cb0105bab85f1cee225a52bddd4fe6dd27621

0xa8aaf959d79805e19e4aebd0ba279cb2078b35b5ec3a38bf01549651f116b512

0x5221c09d7a15fb6329f4465464e0a715bbd4bd33214606791399eefae8c53bdb

2. 黑客將DAI轉入Uniswap，將部分的DAI轉換成500,358.72 USDT，之後將494,057.53 DAI and 500,358.72 USDT通過Uniswap V2: DAI-USDT LP交易對進行AMM流動性提供，賺取手續費。

3. 黑客將手裡的所有穩定幣都換成ETH，通過Tornado Cash洗乾淨。

事件發生後，用戶A火速取得業界多方支援，已經向警方報警，並進行後續的黑客畫像的確定。吳說區塊鏈也將持續跟踪tomatoes.fi相關事件的進展，在第一時間進行詳細報導。

27日庫幣的盜幣者也通過Uniswap將山寨幣交易成ETH，抹茶、幣安等中心化交易所已經凍結了盜幣者的一些資金，因此尋求在去中心化交易所交易，下一步則是進行混幣。對於此類惡意行為，去中心化交易所亦無權管制。此前有謠言稱美國SEC對Uniswap發起調查，有觀點認為此次黑客事件中去中心化交易所的角色，可能引發監管關注。 （作者：21 Research；編輯：Colin Wu）