Втрати через вразливість Hinkal DeFi становлять 820 тис. доларів, 410 ETH залучено до відмивання грошей.

ETH6,49%
ARB1,58%
OP3,40%

DeFi протокол приватності Hinkal зазнав атаки через вразливість смарт-контракту 3 липня, втративши близько 820 тис. доларів USDC. Компанія з безпеки блокчейну CertiK першою виявила атаку, вказавши, що зловмисник використав зовнішній акаунт, щоб після виконання операції «без підтвердження депозиту» здійснити кілька депозитів до смарт-контракту Hinkal та вилучити USDC. Вкрадені кошти були обміняні на Ethereum, з яких 410 ETH були залучені до відмивання коштів.

CertiK: Зловмисник вилучив USDC зі смарт-контракту Hinkal через вразливість «без підтвердження депозиту»

Згідно зі звітом безпеки CertiK на платформі X, зловмисник використав зовнішній акаунт (EOA) з адресою 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, щоб після виконання операції, яку CertiK називає «без підтвердження депозиту» (no proof of deposit), здійснити серію депозитів до смарт-контракту Hinkal, що дозволило вилучити USDC без надання дійсного підтвердження депозиту.

Сума вкрадених коштів, за звітом CertiK, перевищує 800 тис. доларів; аналіз ончейн-дослідника Specter (цитований PeckShield) показує, що фактичні втрати Hinkal становлять близько 820 тис. доларів.

Шлях відмивання вкрадених коштів: USDC обміняно на ETH, потім переведено через Tornado Cash та Thorchain

Згідно з подальшим аналізом CertiK та PeckShield, шлях переміщення вкрадених коштів виглядає так:

Обмін USDC на ETH: вкрадені USDC були обміняні на Ethereum (ETH) протягом кількох годин після атаки

Tornado Cash: 410 ETH (близько 700 тис. доларів) було внесено до Tornado Cash, який є мікшером Ethereum, що перебуває під санкціями уряду США

Міст Thorchain: 44,67 ETH було переведено через Thorchain з блокчейну Ethereum на блокчейн Bitcoin

Цільова адреса Bitcoin: кошти в кінцевому підсумку потрапили на біткойн-адресу, що починається з bc1qr2sf

PeckShield зазначає, що схема відмивання коштів, коли USDC через міст перетворюють на Bitcoin, спостерігалася та документувалася антишахрайськими організаціями під час численних атак на DeFi за останній рік.

До атаки TVL Hinkal становив 829 тис. доларів, майже всі кошти викрадено

За даними DeFiLlama, TVL Hinkal на момент атаки становив лише 829 тис. доларів, і втрати близько 820 тис. доларів означають, що майже всі депозити користувачів були вкрадені. Порівняно з конкурентами у сфері протоколів приватності, TVL Tornado Cash становить 440 млн доларів, Railgun – 77,5 млн доларів, Privacy Pools – 7,8 млн доларів. Hinkal до атаки займав одне з останніх місць у рейтингу протоколів приватності.

Довідка про Hinkal: працює на п'яти блокчейнах, залучив 5,5 млн доларів фінансування

Згідно з повідомленнями, Hinkal позиціонує себе як інституційний шар приватності для ончейн-транзакцій, що дозволяє користувачам створювати приховані адреси та виконувати обміни, перекази та платежі в публічних блокчейнах, не розкриваючи баланси гаманців або інформацію про контрагентів. Протокол розгорнуто на Ethereum, Arbitrum, Base, Polygon та OP Mainnet. Hinkal залучив 5,5 млн доларів через насіннєве та стратегічне фінансування від Draper Associates, Quantstamp та NGC Ventures.

За день до атаки Hinkal оголосив про партнерство з постачальником інфраструктури гаманців Turnkey, плануючи надати функції приватності для користувачів Turnkey. На момент написання статті Hinkal ще не дав публічної відповіді щодо цієї атаки ні в офіційному акаунті X, ні на вебсайті.

Часті питання

Як сталася ця атака на Hinkal?

Згідно з аналізом безпеки CertiK, зловмисник використав вразливість «без підтвердження депозиту» у смарт-контракті Hinkal, виконавши кілька депозитів без надання дійсного підтвердження депозиту та вилучивши близько 820 тис. доларів USDC; сума вкрадених коштів майже дорівнює всьому TVL протоколу на п'яти блокчейнах (829 тис. доларів).

Куди в кінцевому підсумку потрапили вкрадені кошти?

Згідно з аналізом CertiK та PeckShield, вкрадені USDC були обміняні на ETH, після чого 410 ETH (близько 700 тис. доларів) було внесено до Tornado Cash; 44,67 ETH було переведено через міст Thorchain на блокчейн Bitcoin, досягнувши біткойн-адреси, що починається з bc1qr2sf.

Що таке Hinkal і чи є офіційна відповідь наразі?

Згідно з повідомленнями, Hinkal — це інституційний протокол приватності в мережі, розгорнутий на Ethereum, Arbitrum, Base, Polygon та OP Mainnet, який залучив 5,5 млн доларів фінансування; на момент написання статті Hinkal не надав публічної відповіді щодо цієї атаки ні в офіційному акаунті X, ні на вебсайті.

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів