Mixin被盗两亿：安全事件还是监守自盗？

9 月 25 日，区块链安全公司慢雾 SlowMist 发推称，Mixin Network 云服务提供商数据库于 9 月 23 日遭到攻击。此次攻击导致主网部分资产丢失，经初步核实，涉案资金约为 2 亿美元。

对于慢雾的说法，Mixin Kernel 官方迅速作出了回应，其表示慢雾的说法的确属实。对此，经过所有节点的讨论，Mixin Network 决定暂停充值和提现服务。一旦漏洞得到确认并修复，服务将重新开放。在此期间，转账不受影响。目前，Mixin 团队已联系谷歌和慢雾团队协助调查。而他们也将在之后公布处理损失资产的解决方案。

北京时间 9 月 25 日 13:00，Mixin 创始人冯晓东在直播中对此次事件公开进行解释。其在直播中称，此次受损资产以比特币核心资产为主，BOX 和 XIN 等资产并未出现严重被盗情况，具体的攻击情况尚不能透露。

而针对被盗资产，官方表示目前最多赔付 50%，剩余部分将以债券代币形式赔付，未来官方会以利润进行回购。后续，Mixin 也将上线新的系统用于用户资产迁移，但所能转移的资产暂时仅为用户余额的一半。

到这里，对于此次攻击事件，除了具体攻击情况之外，Mixin 似乎是已经尽可能做出了详尽且及时的回应，至于回应本身以及处理方式能否让用户满意，这里暂且先不谈。但此次回应却并未起到想象中的正面效果，反而将事件的焦点引向了另一个方向……

是安全事件还是监守自盗？

加密货币自诞生以来就因安全问题饱受诟病，频繁发生的被盗事件似乎在不断向世人展示加密技术的「不可靠」。但事实真是如此吗？

回溯过往曾发生过的安全事件，我们可以发现，绝大多数安全事件发生的根本原因还是由于涉事项目本身存在的中心化风险。而 Mixin 被盗事件之所以饱受争议也与此有关。

Mixin 虽然是一款加密货币钱包，但实际上，其本质上仍是中心化产品。与 EOA 钱包不同，Mixin 仅依靠手机号码和 PIN 码进行身份验证，并由团队代替用户保管私钥。而其保管方式却极为简单粗暴——直接将私钥直接保存在服务器中。这意味着，用户对于自己的加密货币并没有实际的掌控权，所有加密货币实际上都由 Mixin 官方持有。

同时，少量服务器管理私钥的方式对于黑客而言无疑是极具诱惑力的，在这种模式下，他们只需要极少的工作量（相对而言）就可以获得巨大的回报。相对，官方服务器一旦出现问题，用户的资产也将荡然无存。因此，Mixin 的加密货币钱包之名未免显得有些有名无实，其模式更像是一种无收益的资金托管。

而复盘 Mixin 的历史，我们会发现这也并不是其第一次出现安全事故。

2020 年 3 月，Mixin Network 的两个节点 Fox.ONE、Exin 发布声明称，其联合节点 SS 私钥丢失，导致联合节点中的原始资产 10000 枚 XIN 和自 2020 年 3 月 21 日以后的所有收益均无法取出。

此前，Mixin 还曾为了高息把用户的资产转移到 Fcoin 进行理财。但是后来随着 Fcoin 的倒闭，理财用户所收到的赔付也是债券。

除此之外，Mixin 还曾因签到事件饱受争议。在项目伊始，Mixin 曾将「签到送比特币」作为宣传口号。按照活动规则，拥护累计签到一年就可以获得 0.0679 枚比特币，这意味着，只要坚持签到 10 年，就可以获得超过价值 30 万元人民币的比特币奖励（按当时价格）。但用户参与不久后，官方就开始不断修改规则，签到的门槛随着日期的累计迅速水涨船高，用户不仅需要邀请新用户，参与「洗脑」式答题，甚至还必须投入真金白银才可继续进行。其中答题环节也给大家贡献了不少笑料，最经典的莫过于：

普通人的 BTC 放在哪里最安全？

答：放在 Mixin 钱包里已经是最安全最方便的了。

而除了自身以往出现过的一些问题之外，Mixin 还与圈内一位饱受争议的古早大佬存在密切的关联。

2020 年初，李笑来在接受 CoinDesk 韩文版采访时，曾盛赞 Mixin 这一项目。他公开表示，自己将价值约 10 亿美元的数字资产存放在冷钱包中，而所持有的标的主要是 BTC、EOS 和 Mixin。时至今日，看到后两者的价格表现，也大概可以理解为什么李笑来作为币圈古早大佬还会饱受争议。

除此之外，李笑来还曾自称是 Mixin 的最早投资人，也曾在微博发文推广 Mixin。根据天眼查的信息显示，Mixin 创始人冯晓东和李笑来均为费格曼（北京）科技有限公司的股东，目前冯晓东持股 94%，李笑来持股 5%。费格曼（北京）科技有限公司官方网站显示为 Mixin。因此，在提及 Mixin 之时，老韭菜们往往将其与李笑来个人强绑定。而本次 Mixin 损失的资金也大概率来源于李笑来推出的 B.watch（仅猜测）。

说到 B.watch，就不得不提到 BOX。BOX 是一个数字资产投资标的的开源定投基金，同样由李笑来设计。目前 BOX 由 7 个标的构成，它们分别是 BTC、ETH、EOS、DOT、MOB、XIN、UNI。每一份 BOX 中，包含 0.0001 个 BTC、0.0001 个 ETH、0.03 个 EOS、0.005 个 DOT、0.01 个 MOB、0.0008 个 XIN 和 0.01 个 UNI。而 B.watch 就是 BOX 的社区，用户需要通过 B.watch 完成对 BOX 的资金注入。

根据 Defillama 的数据显示， Mixin 的 TVL 大约为 3.94 亿美元，在所有公链中排名第 8，甚至超过了 Base 和 Solana 。其中大部分 TVL 来自于 B.watch，高达 2.64 亿美元。敏感的读者可能会发现，这个数字与本次被盗的资金数额 2 亿美元高度接近。

所以，在本次 Mixin 安全事件发生之后，一些老用户还去李笑来的微博下留言：

「用户的钱呢？」

对此，莱比特矿池创办人江卓尔在微博上发文表示对 Mixin 被盗 2 亿美元一事「感到诡异」，其表示：

「BOX 里的 BTC 既然是长期定投，不流通，那正常就应该存在冷钱包。

服务器被骇客入侵，BOX 和 XIN 要流通，存在热钱包的币被盗还有可能，冷钱包里的 BTC 根本不可能被盗。但现在反而是 BTC 被盗，BOX 和 XIN 没被盗？」

最后，江卓尔甚至怀疑本次事件是 Mixin 团队监守自盗：

「并且营运方也不等调查结果，就宣布赔偿 50％，赔的钱从哪里来？一个定投项目，哪来这么高的资产？

除非，赔的钱是羊毛出在羊身上。」

其实早在 2019 年，江卓尔就曾在微博上提醒过用户：

「李笑来的产品你去送钱就好了，还研究什么技术，认真你就输了。

你以为 Mixin 那条链上存著 BTC？不好意思， Mixin 上存的只是（能找营运方换取 BTC 的）代币，BTC 在营运方手中，营运方不给换 / 跑路 / 被查封 / 被盗 / 破产，你的 BTC 就没了。」