Le protocole DeFi de confidentialité Hinkal a subi une attaque par vulnérabilité de contrat intelligent le 3 juillet, entraînant une perte d'environ 820 000 dollars USDC. La société de sécurité blockchain CertiK a détecté l'attaque en premier, indiquant que l'attaquant a utilisé un compte externe pour effectuer plusieurs dépôts sur le contrat intelligent Hinkal après avoir exécuté une opération « sans preuve de dépôt », puis a retiré les USDC. Les fonds volés ont été convertis en Ethereum, dont 410 ETH impliqués dans le blanchiment d'argent.
CertiK : L'attaquant a retiré des USDC du contrat intelligent Hinkal via la vulnérabilité « sans preuve de dépôt »
Selon le rapport de sécurité de CertiK sur X, l'attaquant a utilisé l'adresse de compte externe (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, a exécuté une série d'opérations de dépôt sur le contrat intelligent de Hinkal après avoir effectué ce que CertiK appelle une opération « sans preuve de dépôt », permettant de retirer des USDC sans fournir de preuve de dépôt valide.
CertiK a signalé un montant volé supérieur à 800 000 dollars ; l'analyse de l'enquêteur on-chain Specter (citée par PeckShield) montre que la perte réelle de Hinkal est d'environ 820 000 dollars.
Parcours de blanchiment des fonds volés : conversion d'USDC en ETH puis transfert via Tornado Cash et Thorchain
Selon les analyses ultérieures de CertiK et PeckShield, le chemin de transfert des fonds volés est le suivant :
Conversion USDC → ETH : les USDC volés ont été convertis en Ethereum (ETH) dans les heures suivant l'attaque
Tornado Cash : 410 ETH (environ 700 000 dollars) ont été déposés dans Tornado Cash, un mélangeur Ethereum sanctionné par le gouvernement américain
Pont Thorchain : 44,67 ETH ont été transférés de la blockchain Ethereum vers la blockchain Bitcoin via Thorchain
Adresse Bitcoin de destination : les fonds ont finalement atteint une adresse Bitcoin commençant par bc1qr2sf
PeckShield a noté que ce modèle de blanchiment d'argent, où les USDC sont convertis en Bitcoin via un pont inter-chaînes, a été observé et enregistré par les agences anti-fraude dans plusieurs incidents de piratage DeFi au cours de l'année écoulée.
Avant l'attaque, le TVL de Hinkal était de 829 000 dollars, presque entièrement vidé
Selon les données de DeFiLlama, le TVL de Hinkal au moment de l'attaque était seulement de 829 000 dollars, cette perte d'environ 820 000 dollars signifie que les dépôts des utilisateurs ont été presque entièrement volés. En comparaison avec ses concurrents dans la confidentialité, le TVL de Tornado Cash est de 440 millions de dollars, Railgun de 77,5 millions de dollars, Privacy Pools de 7,8 millions de dollars. Hinkal était proche du bas du classement des protocoles de confidentialité avant l'attaque.
Contexte de Hinkal : opérant sur cinq blockchains, a levé 5,5 millions de dollars
Selon les rapports, Hinkal se positionne comme une couche de confidentialité institutionnelle pour les transactions on-chain, permettant aux utilisateurs de créer des adresses masquées et d'effectuer des échanges, transferts et paiements sur la blockchain publique sans révéler les soldes des portefeuilles ni les informations des contreparties ; le protocole est déployé sur Ethereum, Arbitrum, Base, Polygon et OP Mainnet. Hinkal a levé 5,5 millions de dollars via des financements de démarrage et stratégiques auprès de Draper Associates, Quantstamp et NGC Ventures.
La veille de l'attaque, Hinkal a annoncé un partenariat avec le fournisseur d'infrastructure de portefeuille Turnkey, prévoyant de fournir des fonctionnalités de confidentialité aux utilisateurs de Turnkey. Au moment de la rédaction, Hinkal n'a pas encore répondu publiquement à cette attaque sur son compte X officiel ou son site Web.
Questions fréquentes
Comment l'attaque de Hinkal s'est-elle produite ?
Selon l'analyse de sécurité de CertiK, l'attaquant a exploité la vulnérabilité « sans preuve de dépôt » du contrat intelligent de Hinkal, en effectuant plusieurs opérations de dépôt sans fournir de preuve de dépôt valide, et a retiré environ 820 000 dollars USDC ; le montant volé équivaut presque à la totalité du TVL du protocole sur cinq blockchains (829 000 dollars).
Où les fonds volés ont-ils finalement abouti ?
Selon les analyses de CertiK et PeckShield, les USDC volés ont été convertis en ETH, puis 410 ETH (environ 700 000 dollars) ont été déposés dans Tornado Cash ; 44,67 ETH ont été transférés via Thorchain vers la blockchain Bitcoin, atteignant une adresse Bitcoin commençant par bc1qr2sf.
Qu'est-ce que le protocole Hinkal et y a-t-il une réponse officielle ?
Selon les rapports, Hinkal est un protocole de confidentialité on-chain de niveau institutionnel, déployé sur Ethereum, Arbitrum, Base, Polygon et OP Mainnet, ayant levé 5,5 millions de dollars ; au moment de la rédaction, Hinkal n'a pas encore répondu publiquement à cette attaque sur son compte X officiel ou son site Web.