DeFi 隐私协议 Hinkal 于 7 月 3 日遭到智能合约漏洞攻击,损失约 82 万美元 USDC。区块链安全公司 CertiK 率先侦测到攻击,指出攻击者使用外部账户,在执行无存款证明操作后对 Hinkal 智能合约进行多笔存款,提取 USDC。被盗资金被兑换为以太坊,其中 410 枚 ETH 涉入洗钱。
CertiK:攻击者透过「无存款证明」漏洞从 Hinkal 智能合约提取 USDC
根据 CertiK 在 X 上的安全报告,攻击者使用外部账户(EOA)地址 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20,在执行 CertiK 所称的「无存款证明」(no proof of deposit)操作后,向 Hinkal 的智能合约执行了一系列存款操作,无需提供有效的存款证明即可提取 USDC。
CertiK 报告的被盗金额逾 80 万美元;链上调查员 Specter 的分析(经 PeckShield 援引)显示,Hinkal 实际损失约 82 万美元。
被盗资金洗钱路径:USDC 兑换为 ETH 后透过 Tornado Cash 与 Thorchain 转移
根据 CertiK 及 PeckShield 的后续分析,被盗资金的转移路径如下:
USDC → ETH 兑换:被盗 USDC 在攻击发生后数小时内被兑换为以太坊(ETH)
Tornado Cash:410 枚 ETH(约 70 万美元)存入 Tornado Cash,此为受美国政府制裁的以太坊混合器
Thorchain 桥接:44.67 枚 ETH 透过 Thorchain 从以太坊区块链转移至比特币区块链
比特币目标地址:资金最终到达以 bc1qr2sf 开头的比特币地址
PeckShield 指出,USDC 透过跨链桥兑换为比特币的洗钱模式,在过去一年多起 DeFi 黑客攻击事件中已被反诈骗机构观察记录。
攻击前 Hinkal TVL 为 82.9 万美元,几乎全数清空
根据 DeFiLlama 数据,Hinkal 在攻击发生时的 TVL 仅为 82.9 万美元,此次损失约 82 万美元意味着用户存款几乎全数遭窃。与隐私协议竞争者相比,Tornado Cash TVL 为 4.4 亿美元、Railgun 为 7750 万美元、Privacy Pools 为 780 万美元,Hinkal 在攻击前在隐私协议排名中接近垫底。
Hinkal 背景:运作于五条区块链,曾融资 550 万美元
根据报道,Hinkal 将自身定位为机构级链上交易隐私层,允许用户创建屏蔽地址并在公共区块链上执行兑换、转账及支付,而不揭露钱包余额或交易对手信息;协议部署于以太坊、Arbitrum、Base、Polygon 及 OP 主网。Hinkal 曾透过种子轮及策略融资,从 Draper Associates、Quantstamp 及 NGC Ventures 筹集 550 万美元。
攻击发生前一日,Hinkal 宣布与钱包基础设施供应商 Turnkey 达成合作,计划为 Turnkey 用户提供隐私功能。截至报道时,Hinkal 尚未在官方 X 账户或官网就此攻击事件作出公开回应。
常见问题
Hinkal 此次攻击是如何发生的?
根据 CertiK 的安全分析,攻击者利用 Hinkal 智能合约的「无存款证明」漏洞,在未提供有效存款证明的情况下执行多笔存款操作,提取了约 82 万美元的 USDC;被盗金额几乎等同于协议在五条区块链上的全部 TVL(82.9 万美元)。
被盗资金最终流向哪里?
根据 CertiK 及 PeckShield 的分析,被盗 USDC 被兑换为 ETH 后,410 枚 ETH(约 70 万美元)存入 Tornado Cash;44.67 枚 ETH 透过 Thorchain 桥接至比特币区块链,到达以 bc1qr2sf 开头的比特币地址。
Hinkal 是什么协议,目前是否有官方回应?
根据报道,Hinkal 为机构级链上隐私协议,部署于以太坊、Arbitrum、Base、Polygon 及 OP 主网,曾融资 550 万美元;截至报道时,Hinkal 尚未在官方 X 账户或官网就此攻击事件作出公开回应。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复