DeFi протокол приватності Hinkal зазнав атаки через вразливість смарт-контракту 3 липня, втративши близько 820 тис. доларів USDC. Компанія з безпеки блокчейну CertiK першою виявила атаку, вказавши, що зловмисник використав зовнішній акаунт, щоб після виконання операції «без підтвердження депозиту» здійснити кілька депозитів до смарт-контракту Hinkal та вилучити USDC. Вкрадені кошти були обміняні на Ethereum, з яких 410 ETH були залучені до відмивання коштів.
Згідно зі звітом безпеки CertiK на платформі X, зловмисник використав зовнішній акаунт (EOA) з адресою 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, щоб після виконання операції, яку CertiK називає «без підтвердження депозиту» (no proof of deposit), здійснити серію депозитів до смарт-контракту Hinkal, що дозволило вилучити USDC без надання дійсного підтвердження депозиту.
Сума вкрадених коштів, за звітом CertiK, перевищує 800 тис. доларів; аналіз ончейн-дослідника Specter (цитований PeckShield) показує, що фактичні втрати Hinkal становлять близько 820 тис. доларів.
Згідно з подальшим аналізом CertiK та PeckShield, шлях переміщення вкрадених коштів виглядає так:
Обмін USDC на ETH: вкрадені USDC були обміняні на Ethereum (ETH) протягом кількох годин після атаки
Tornado Cash: 410 ETH (близько 700 тис. доларів) було внесено до Tornado Cash, який є мікшером Ethereum, що перебуває під санкціями уряду США
Міст Thorchain: 44,67 ETH було переведено через Thorchain з блокчейну Ethereum на блокчейн Bitcoin
Цільова адреса Bitcoin: кошти в кінцевому підсумку потрапили на біткойн-адресу, що починається з bc1qr2sf
PeckShield зазначає, що схема відмивання коштів, коли USDC через міст перетворюють на Bitcoin, спостерігалася та документувалася антишахрайськими організаціями під час численних атак на DeFi за останній рік.
За даними DeFiLlama, TVL Hinkal на момент атаки становив лише 829 тис. доларів, і втрати близько 820 тис. доларів означають, що майже всі депозити користувачів були вкрадені. Порівняно з конкурентами у сфері протоколів приватності, TVL Tornado Cash становить 440 млн доларів, Railgun – 77,5 млн доларів, Privacy Pools – 7,8 млн доларів. Hinkal до атаки займав одне з останніх місць у рейтингу протоколів приватності.
Згідно з повідомленнями, Hinkal позиціонує себе як інституційний шар приватності для ончейн-транзакцій, що дозволяє користувачам створювати приховані адреси та виконувати обміни, перекази та платежі в публічних блокчейнах, не розкриваючи баланси гаманців або інформацію про контрагентів. Протокол розгорнуто на Ethereum, Arbitrum, Base, Polygon та OP Mainnet. Hinkal залучив 5,5 млн доларів через насіннєве та стратегічне фінансування від Draper Associates, Quantstamp та NGC Ventures.
За день до атаки Hinkal оголосив про партнерство з постачальником інфраструктури гаманців Turnkey, плануючи надати функції приватності для користувачів Turnkey. На момент написання статті Hinkal ще не дав публічної відповіді щодо цієї атаки ні в офіційному акаунті X, ні на вебсайті.
Згідно з аналізом безпеки CertiK, зловмисник використав вразливість «без підтвердження депозиту» у смарт-контракті Hinkal, виконавши кілька депозитів без надання дійсного підтвердження депозиту та вилучивши близько 820 тис. доларів USDC; сума вкрадених коштів майже дорівнює всьому TVL протоколу на п'яти блокчейнах (829 тис. доларів).
Згідно з аналізом CertiK та PeckShield, вкрадені USDC були обміняні на ETH, після чого 410 ETH (близько 700 тис. доларів) було внесено до Tornado Cash; 44,67 ETH було переведено через міст Thorchain на блокчейн Bitcoin, досягнувши біткойн-адреси, що починається з bc1qr2sf.
Згідно з повідомленнями, Hinkal — це інституційний протокол приватності в мережі, розгорнутий на Ethereum, Arbitrum, Base, Polygon та OP Mainnet, який залучив 5,5 млн доларів фінансування; на момент написання статті Hinkal не надав публічної відповіді щодо цієї атаки ні в офіційному акаунті X, ні на вебсайті.
Пов’язані новини
Standard Chartered: ринок серйозно недооцінює потенціал співпраці Uniswap з традиційними фінансами, UNI зріс на 13,3% за день.
Україна вперше включила конфісковані криптоактиви до державного управління, перевівши 8,3 мільйона USDT.
Drift Protocol перейменовано на Velocity DEX, план перезапуску після крадіжки 280 мільйонів доларів
Втрати від крипто-хаків у червні впали до 75,9 мільйона доларів, експлойт Humanity лідирує.