DeFi 隱私協議 Hinkal 於 7 月 3 日遭到智能合約漏洞攻擊,損失約 82 萬美元 USDC。區塊鏈安全公司 CertiK 率先偵測到攻擊,指出攻擊者使用外部帳戶,在執行無存款證明操作後對 Hinkal 智能合約進行多筆存款,提取 USDC。被盜資金被兌換為以太坊,其中 410 枚 ETH 涉入洗錢。
CertiK:攻擊者透過「無存款證明」漏洞從 Hinkal 智能合約提取 USDC
根據 CertiK 在 X 上的安全報告,攻擊者使用外部帳戶(EOA)地址 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20,在執行 CertiK 所稱的「無存款證明」(no proof of deposit)操作後,向 Hinkal 的智能合約執行了一系列存款操作,無需提供有效的存款證明即可提取 USDC。
CertiK 報告的被盜金額逾 80 萬美元;鏈上調查員 Specter 的分析(經 PeckShield 援引)顯示,Hinkal 實際損失約 82 萬美元。
被盜資金洗錢路徑:USDC 兌換為 ETH 後透過 Tornado Cash 與 Thorchain 轉移
根據 CertiK 及 PeckShield 的後續分析,被盜資金的轉移路徑如下:
USDC → ETH 兌換:被盜 USDC 在攻擊發生後數小時內被兌換為以太坊(ETH)
Tornado Cash:410 枚 ETH(約 70 萬美元)存入 Tornado Cash,此為受美國政府制裁的以太坊混合器
Thorchain 橋接:44.67 枚 ETH 透過 Thorchain 從以太坊區塊鏈轉移至比特幣區塊鏈
比特幣目標地址:資金最終到達以 bc1qr2sf 開頭的比特幣地址
PeckShield 指出,USDC 透過跨鏈橋兌換為比特幣的洗錢模式,在過去一年多起 DeFi 駭客攻擊事件中已被反詐騙機構觀察記錄。
攻擊前 Hinkal TVL 為 82.9 萬美元,幾乎全數清空
根據 DeFiLlama 數據,Hinkal 在攻擊發生時的 TVL 僅為 82.9 萬美元,此次損失約 82 萬美元意味著用戶存款幾乎全數遭竊。與隱私協議競爭者相比,Tornado Cash TVL 為 4.4 億美元、Railgun 為 7,750 萬美元、Privacy Pools 為 780 萬美元,Hinkal 在攻擊前在隱私協議排名中接近墊底。
Hinkal 背景:運作於五條區塊鏈,曾融資 550 萬美元
根據報道,Hinkal 將自身定位為機構級鏈上交易隱私層,允許用戶創建屏蔽地址並在公共區塊鏈上執行兌換、轉帳及支付,而不揭露錢包餘額或交易對手資訊;協議部署於以太坊、Arbitrum、Base、Polygon 及 OP 主網。Hinkal 曾透過種子輪及策略融資,從 Draper Associates、Quantstamp 及 NGC Ventures 籌集 550 萬美元。
攻擊發生前一日,Hinkal 宣布與錢包基礎設施供應商 Turnkey 達成合作,計劃為 Turnkey 用戶提供隱私功能。截至報道時,Hinkal 尚未在官方 X 帳戶或官網就此攻擊事件作出公開回應。
常見問題
Hinkal 此次攻擊是如何發生的?
根據 CertiK 的安全分析,攻擊者利用 Hinkal 智能合約的「無存款證明」漏洞,在未提供有效存款證明的情況下執行多筆存款操作,提取了約 82 萬美元的 USDC;被盜金額幾乎等同於協議在五條區塊鏈上的全部 TVL(82.9 萬美元)。
被盜資金最終流向哪裡?
根據 CertiK 及 PeckShield 的分析,被盜 USDC 被兌換為 ETH 後,410 枚 ETH(約 70 萬美元)存入 Tornado Cash;44.67 枚 ETH 透過 Thorchain 橋接至比特幣區塊鏈,到達以 bc1qr2sf 開頭的比特幣地址。
Hinkal 是什麼協議,目前是否有官方回應?
根據報道,Hinkal 為機構級鏈上隱私協議,部署於以太坊、Arbitrum、Base、Polygon 及 OP 主網,曾融資 550 萬美元;截至報道時,Hinkal 尚未在官方 X 帳戶或官網就此攻擊事件作出公開回應。