Hinkal DeFi สูญเสีย 820,000 ดอลลาร์จากช่องโหว่ และ ETH 410 เหรียญเกี่ยวข้องกับการฟอกเงิน

ETH6.44%
ARB1.86%
OP3.82%

DeFi โปรโตคอลความเป็นส่วนตัว Hinkal ถูกโจมตีผ่านช่องโหว่สัญญาอัจฉริยะเมื่อวันที่ 3 กรกฎาคม สูญเสีย USDC มูลค่าประมาณ 820,000 ดอลลาร์ บริษัทรักษาความปลอดภัยบล็อกเชน CertiK ตรวจพบการโจมตีก่อนใคร โดยระบุว่าผู้โจมตีใช้บัญชีภายนอก (EOA) หลังจากดำเนินการ "ไม่มีหลักฐานการฝาก" (no proof of deposit) แล้วทำการฝากเงินหลายครั้งไปยังสัญญาอัจฉริยะของ Hinkal และถอน USDC ออกมา เงินที่ถูกขโมยถูกแลกเป็น Ethereum โดยมี 410 ETH เกี่ยวข้องกับการฟอกเงิน

CertiK: ผู้โจมตีใช้ช่องโหว่ "ไม่มีหลักฐานการฝาก" ถอน USDC จากสัญญาอัจฉริยะ Hinkal

ตามรายงานความปลอดภัยของ CertiK บน X ผู้โจมตีใช้ที่อยู่บัญชีภายนอก (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20 หลังจากดำเนินการที่ CertiK เรียกว่า "no proof of deposit" (ไม่มีหลักฐานการฝาก) ได้ทำการฝากเงินหลายครั้งไปยังสัญญาอัจฉริยะของ Hinkal โดยไม่ต้องให้หลักฐานการฝากที่ถูกต้องก็สามารถถอน USDC ได้

จำนวนเงินที่ถูกขโมยตามรายงานของ CertiK มากกว่า 800,000 ดอลลาร์ ส่วนการวิเคราะห์ของ Specter นักสืบออนเชน (ซึ่ง PeckShield อ้างถึง) ระบุว่า Hinkal สูญเสียจริงประมาณ 820,000 ดอลลาร์

เส้นทางการฟอกเงิน: แลก USDC เป็น ETH แล้วโอนผ่าน Tornado Cash และ Thorchain

ตามการวิเคราะห์ติดตามของ CertiK และ PeckShield เส้นทางการโอนเงินที่ถูกขโมยมีดังนี้:

USDC → ETH แลกเปลี่ยน: USDC ที่ถูกขโมยถูกแลกเป็น Ethereum (ETH) ภายในไม่กี่ชั่วโมงหลังการโจมตี

Tornado Cash: 410 ETH (มูลค่าประมาณ 700,000 ดอลลาร์) ถูกฝากเข้าสู่ Tornado Cash ซึ่งเป็นเครื่องผสม Ethereum ที่ถูกคว่ำบาตรโดยรัฐบาลสหรัฐฯ

Thorchain Bridge: 44.67 ETH ถูกโอนจากบล็อกเชน Ethereum ไปยังบล็อกเชน Bitcoin ผ่าน Thorchain

ที่อยู่ Bitcoin เป้าหมาย: เงินไปถึงที่อยู่ Bitcoin ที่ขึ้นต้นด้วย bc1qr2sf

PeckShield ชี้ว่ารูปแบบการฟอกเงินโดยการแลก USDC เป็น Bitcoin ผ่าน cross-chain bridge นี้ถูกบันทึกโดยหน่วยงานต่อต้านการหลอกลวงในเหตุการณ์แฮก DeFi หลายครั้งในช่วงปีที่ผ่านมา

TVL ของ Hinkal ก่อนถูกโจมตีอยู่ที่ 829,000 ดอลลาร์ ถูกกวาดจนเกือบหมด

ตามข้อมูล DeFiLlama TVL ของ Hinkal ณ เวลาที่ถูกโจมตีอยู่ที่เพียง 829,000 ดอลลาร์ การสูญเสียประมาณ 820,000 ดอลลาร์หมายถึงเงินฝากของผู้ใช้เกือบทั้งหมดถูกขโมยไป เมื่อเทียบกับคู่แข่งโปรโตคอลความเป็นส่วนตัวอื่นๆ Tornado Cash มี TVL 440 ล้านดอลลาร์ Railgun 77.5 ล้านดอลลาร์ Privacy Pools 7.8 ล้านดอลลาร์ Hinkal อยู่ในอันดับท้ายๆ ก่อนถูกโจมตี

เบื้องหลัง Hinkal: ทำงานบนบล็อกเชน 5 สาย เคยระดมทุน 5.5 ล้านดอลลาร์

ตามรายงาน Hinkal วางตำแหน่งตัวเองเป็นเลเยอร์ความเป็นส่วนตัวสำหรับการซื้อขายออนเชนระดับสถาบัน ให้ผู้ใช้สร้างที่อยู่แบบ屏蔽 (shielded) และดำเนินการแลกเปลี่ยน โอน และชำระเงินบนบล็อกเชนสาธารณะโดยไม่เปิดเผยยอดคงเหลือในกระเป๋าหรือข้อมูลคู่สัญญา โปรโตคอลถูก部署บน Ethereum, Arbitrum, Base, Polygon และ OP Mainnet Hinkal ระดมทุน 5.5 ล้านดอลลาร์จาก Draper Associates, Quantstamp และ NGC Ventures ผ่านการระดมทุนรอบ Seed และ Strategic

หนึ่งวันก่อนการโจมตี Hinkal ประกาศความร่วมมือกับ Turnkey ผู้ให้บริการโครงสร้างพื้นฐานกระเป๋าเงิน โดยวางแผนให้ฟีเจอร์ความเป็นส่วนตัวแก่ผู้ใช้ Turnkey ณ เวลาที่รายงาน Hinkal ยังไม่มีการตอบกลับอย่างเป็นทางการเกี่ยวกับการโจมตีนี้บนบัญชี X อย่างเป็นทางการหรือเว็บไซต์

คำถามที่พบบ่อย

การโจมตี Hinkal ครั้งนี้เกิดขึ้นได้อย่างไร?

ตามการวิเคราะห์ความปลอดภัยของ CertiK ผู้โจมตีใช้ช่องโหว่ "ไม่มีหลักฐานการฝาก" ในสัญญาอัจฉริยะของ Hinkal ทำการฝากเงินหลายครั้งโดยไม่ต้องให้หลักฐานการฝากที่ถูกต้อง และถอน USDC ออกมาได้ประมาณ 820,000 ดอลลาร์ จำนวนเงินที่ถูกขโมยเกือบเท่ากับ TVL ทั้งหมดของโปรโตคอลบนบล็อกเชน 5 สาย (829,000 ดอลลาร์)

เงินที่ถูกขโมยไปจบลงที่ไหน?

ตามการวิเคราะห์ของ CertiK และ PeckShield USDC ที่ถูกขโมยถูกแลกเป็น ETH จากนั้น 410 ETH (มูลค่าประมาณ 700,000 ดอลลาร์) ถูกฝากเข้าสู่ Tornado Cash และ 44.67 ETH ถูกโอนผ่าน Thorchain ไปยังบล็อกเชน Bitcoin ไปยังที่อยู่ Bitcoin ที่ขึ้นต้นด้วย bc1qr2sf

Hinkal คือโปรโตคอลอะไร และมีตอบกลับอย่างเป็นทางการหรือยัง?

ตามรายงาน Hinkal เป็นโปรโตคอลความเป็นส่วนตัวออนเชนระดับสถาบัน ถูก部署บน Ethereum, Arbitrum, Base, Polygon และ OP Mainnet เคยระดมทุน 5.5 ล้านดอลลาร์ ณ เวลาที่รายงาน Hinkal ยังไม่มีการตอบกลับอย่างเป็นทางการเกี่ยวกับการโจมตีนี้บนบัญชี X อย่างเป็นทางการหรือเว็บไซต์

news.article.disclaimer
แสดงความคิดเห็น
0/400
ไม่มีความคิดเห็น