首页

博客

为什么加密服务并不总是识别智能合约转账

由英语翻译

想象一下。你在 Polymarket 中持有 USDC，希望换成 XMR 以便安静、私密地存储。你访问 rabbit.io，设置一个用 Polygon 上的 USDC 兑换 XMR 的订单，得到存款地址，发送代币——但什么都没发生。

你在 Polymarket 上使用的钱包已签署了交易。Polygonscan 显示绿色对勾、正确的地址和正确的金额。但兑换服务并没有看到这笔存款。

乍一看，这似乎很离奇。区块链是所有人共享的。如果区块浏览器显示有一笔入账，为什么服务不能按下按钮就把代币记入呢？

但在任何加密交易所或兑换服务中，你都可能遇到这种情况。原因在于，交易所和兑换服务并不像你那样读取区块浏览器。他们使用的是自动化的存款记账系统。而这些系统不仅需要知道链上发生了某种转移，还需要判断这种转移是否代表真实、最终、受支持且安全的存款。

这正是我今天要讨论的问题开始的地方。

看起来相同的两种地址

在 EVM 网络中，存在两种类型的地址。

用户地址。官方称之为 EOA，或外部拥有账户（Externally Owned Account）——其交易是在虚拟机外部某处由签名生成的地址。控制它需要私钥。
智能合约地址。从该地址发起的转账是由链上执行的代码产生的。换句话说，该地址由写入智能合约的算法治理。

两种地址都可以接收、持有和发送币和代币。对普通用户来说，它们看上去几乎一样：都是以 0x 开头的一长串字符。但对于任何必须对交易内发生的事情进行记账的系统来说，这种差异非常重要。

让我用以太坊来举例说明。

如果你从普通钱包发送 ETH，那只是一次简单的转账：地址 A 向地址 B 发送了资金。这种操作很容易在主交易（Transactions）标签中找到。

但如果 ETH 是从智能合约发出的，它可能会显示为内部交易（Internal Transaction）。收款人的余额确实增加了，但该转账是作为合约执行逻辑的一部分发生的，按照写入该合约的规则。

自动记入通过此类交易到达的资金并不总是正确的做法。首要步骤往往是先检查资金来自哪种合约，以及交易内部到底发生了什么，这是很难反驳的。

但 USDC 总是通过合约转账！

是的——这是一个重要的点。

每一种 ERC-20 代币——USDT、USDC、WBTC、LINK 等——在地址之间的移动都是在定义该代币的智能合约规则下进行的。当你发送 USDC 时，你是在调用该代币的合约。合约更新其内部的余额表并向区块链写入一个 Transfer 事件。

对于代币来说，这是正常的机制。存款系统就是为处理这些转账而构建的。那么这种通常能顺利通过的代币转账和另一种无法自动处理的转账之间的根本区别是什么？

答案在于代币转移事件中列为发送方的主体是谁。

如果 USDC 从你常规的 EOA 地址被扣款并发送到交易所或兑换服务的地址，一切很可能顺利进行。当代币是从桥（bridge）、金库（vault）、路由器（router）、智能钱包、多重签名（multisig）或交易平台合约的地址被扣款时，问题可能会出现。

为什么我说问题可能出现？因为不同服务对于如何处理智能合约存款的规则各不相同。

Coinbase 例如表示支持通过智能合约的 ETH 和 ERC-20 存款，但不支持 Solana 上等价的 SOL 和 SPL 代币的合约存款。Bybit 在其常见问题中指出，除了 ETH 外，其它币种的智能合约存款不受支持。Crypto.com 警告称，大多数来自智能合约的原生 EVM 链代币存款不会被自动记账。

换言之，行业内仍未有统一规则来决定哪些基于合约的转账应被视为正常存款、哪些需要人工处理、哪些应完全不被接受。

更糟糕的是，用户甚至可能没有意识到他们的代币是从非 EOA 的东西发送出来的。

普通用户从哪里会遇到智能合约？

如果我没有与任何人缔结合约，智能合约怎么会与我的交易有关？

不幸的是，智能合约确实可能在链上出现，而你并未直接参与。以下是三种常见场景，在这些场景中，合约会在你不知情的情况下出现。

第一种场景是从预测市场、DEX 聚合器、借贷协议或其他 dApp 提现。这些应用往往不会把资产保存在你的常规地址中，而是保存在合约里——即使你的 Web3 钱包并不明显地提示这一点，你可能会认为资产始终由你持有。

更准确地说，它们可能会在你的余额中显示，但并非完全由你直接控制。转移这些代币只能在智能合约的条款下进行。

所以你点击提款，应用把资金发送到正确的地址——但链上的发送方却不是你的 EOA，而是平台的合约。

第二种场景涉及桥接（bridge）。

当从运行自己内部区块链的交易所或支付服务（例如 Hyperliquid、dYdX、Paradex、Payy Network 等）提现时，桥接经常会派上用场。在那个内部区块链的数据库中，代币可能显示在你的地址上，所以你以为是从该地址发送——而不是从智能合约发送。

但当你将它们移动到另一个区块链（如 Arbitrum、Polygon 或以太坊）时，接收方可能会从完全不同的地址收到代币。你在目标网络上的地址从未持有那些代币。它们是由桥合约或与桥相关的基础设施持有，而内部链只是代表了你在另一端的余额。

这并不意味着每笔这样的转账都会丢失。但这确实意味着对于接收方交易所或兑换服务的自动化系统来说，它可能看起来不像一次简单的转账。

第三种场景涉及账户抽象（account abstraction）钱包。

它们确实很有用：允许你批量支付、用稳定币支付 gas、让第三方代付 gas 费用、设置自定义的钱包恢复条件，以及使用其他方便功能。但这种便利通常是通过把你的钱包变成智能合约来实现的。

值得注意的是：其中一种最流行此类钱包的开发者——OKX Wallet——明确指出此类钱包是智能合约，无法通过助记词或私钥导入到另一个应用中。

对用户来说，看起来像他们的个人钱包；对接收服务来说，发送方可能是一个智能合约。

为什么交易所和兑换服务对这些转账保持谨慎

最简单的原因是技术性的。自动化的存款扫描器可能不会跟踪非标准的区块链事件。

这个限制是可以修复的。但它不是偶然产生的。其背后有更深层的安全顾虑。

你不能仅仅因为在浏览器中看起来不错就信任每一个 Transfer 事件。加密领域已有假存款攻击的历史，在这些攻击中，攻击者制造出看似存款的假象，而接收方误以为是真实的存款。

六年前发表的 DEPOSafe 研究发现了超过 7,000 个可能易受此类攻击的合约。这些合约仍然存在。它们仍部署在以太坊上。在过去六年里，几乎可以肯定还加入了更多新的易受攻击合约，包括其他网络中的合约。

这些攻击的本质是信任了错误的信号。

接收方看到一个看起来像代币到达的事件便认为资金现在属于他们。但合约逻辑可能导致实际结果大不相同：资金可能被退回、被销毁、被重定向到别处，或者根本没有以接收方的存款系统所预期的方式落入接收方的控制之下。

因此，交易所和兑换服务所表现出的谨慎并非官僚作风，也不是对处理尴尬交易的懒惰。智能合约很复杂，要把可靠的存款与假存款攻击区分开来并非总是直观易行。

如何判断你是否从智能合约发送

你所发送的应用界面有时根本不会给出任何线索，说明资金实际上会从哪种类型的地址发出。你通常只能在事后通过在区块浏览器中检查发生了什么来判断。

如果你发送的是原生资产，比如 ETH、AVAX、BNB 或 HYPE，检查入账转移出现在何处。如果它显示在 Transactions 标签下，你可能没问题。但如果移动显示在 Internal Transactions 或 Internal Transfers 标签下，那就是基于合约的场景了。

如果你发送的是 ERC-20 代币，打开 Token Transfers 并查看 From 字段。访问那里列出的地址。在 Etherscan 和类似的浏览器中，智能合约通常有一个 Contract 选项卡、已验证的代码、合约名称或标签。该地址也可能被标记为 Contract、Bridge、Router、Proxy、Safe、Vault、EntryPoint、Settlement 等。