DeFiプライバシープロトコルHinkalは7月3日、スマートコントラクトの脆弱性を突かれ、約82万米ドルのUSDCを損失しました。ブロックチェーンセキュリティ企業CertiKが最初に攻撃を検出し、攻撃者が外部アカウントを使用し、預金証明なしの操作を実行した後、Hinkalのスマートコントラクトに複数の預金を行い、USDCを引き出したと指摘しました。盗まれた資金はイーサリアムに交換され、そのうち410ETHがマネーロンダリングに関与しています。
CertiK:攻撃者は「預金証明なし」の脆弱性を利用し、HinkalのスマートコントラクトからUSDCを引き出した
CertiKのX上のセキュリティレポートによると、攻撃者は外部アカウント(EOA)アドレス0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20を使用し、CertiKが「預金証明なし」(no proof of deposit)と呼ぶ操作を実行した後、Hinkalのスマートコントラクトに対して一連の預金操作を実行し、有効な預金証明を提供せずにUSDCを引き出しました。
CertiKが報告した盗難額は80万米ドル超。チェーン上の調査員Specterの分析(PeckShieldが引用)によると、Hinkalの実際の損失は約82万米ドルです。
盗まれた資金のマネーロンダリング経路:USDCをETHに交換後、Tornado CashとThorchainを経由して転送
CertiKおよびPeckShieldのその後の分析によると、盗まれた資金の転送経路は以下の通りです。
USDC → ETH交換:盗まれたUSDCは攻撃発生から数時間以内にイーサリアム(ETH)に交換されました。
Tornado Cash:410ETH(約70万米ドル)がTornado Cashに入金されました。これは米国政府の制裁対象であるイーサリアムミキサーです。
Thorchainブリッジ:44.67ETHがThorchainを介してイーサリアムブロックチェーンからビットコインブロックチェーンに転送されました。
ビットコインの宛先アドレス:資金は最終的にbc1qr2sfで始まるビットコインアドレスに到達しました。
PeckShieldは、USDCがクロスチェーンブリッジを介してビットコインに交換されるマネーロンダリングパターンは、過去1年以上のDeFiハッキング事件で不正対策機関によって観察・記録されていると指摘しています。
攻撃前のHinkalのTVLは82.9万米ドル、ほぼ全額が流出
DeFiLlamaのデータによると、Hinkalの攻撃発生時のTVLはわずか82.9万米ドルであり、今回の損失約82万米ドルはユーザーの預金のほぼ全額が盗まれたことを意味します。プライバシープロトコルの競合他社と比較すると、Tornado CashのTVLは4.4億米ドル、Railgunは7,750万米ドル、Privacy Poolsは780万米ドルであり、Hinkalは攻撃前のプライバシープロトコルランキングでほぼ最下位でした。
Hinkalの背景:5つのブロックチェーンで動作し、550万米ドルを調達
報道によると、Hinkalは自身を機関レベルのオンチェーン取引プライバシーレイヤーと位置づけており、ユーザーがシールドアドレスを作成し、ウォレット残高や取引相手の情報を開示することなく、パブリックブロックチェーン上で交換、送金、支払いを実行できるようにしています。プロトコルはイーサリアム、Arbitrum、Base、Polygon、OPメインネットに展開されています。Hinkalはシードラウンドおよび戦略的資金調達を通じて、Draper Associates、Quantstamp、NGC Venturesから550万米ドルを調達しました。
攻撃発生の前日、HinkalはウォレットインフラプロバイダーTurnkeyとの提携を発表し、Turnkeyユーザーにプライバシー機能を提供する計画でした。報道時点で、Hinkalは公式Xアカウントまたは公式ウェブサイトでこの攻撃事件について公にコメントしていません。
よくある質問
Hinkalへの今回の攻撃はどのように発生しましたか?
CertiKのセキュリティ分析によると、攻撃者はHinkalのスマートコントラクトの「預金証明なし」の脆弱性を悪用し、有効な預金証明を提供せずに複数の預金操作を実行し、約82万米ドルのUSDCを引き出しました。盗まれた金額は、5つのブロックチェーン上のプロトコルのTVL(82.9万米ドル)のほぼ全額に相当します。
盗まれた資金は最終的にどこへ流れたのですか?
CertiKおよびPeckShieldの分析によると、盗まれたUSDCはETHに交換された後、410ETH(約70万米ドル)がTornado Cashに入金されました。44.67ETHがThorchainを介してビットコインブロックチェーンにブリッジされ、bc1qr2sfで始まるビットコインアドレスに到達しました。
Hinkalとはどのようなプロトコルで、現在公式の回答はありますか?
報道によると、Hinkalは機関レベルのオンチェーンプライバシープロトコルであり、イーサリアム、Arbitrum、Base、Polygon、OPメインネットに展開され、550万米ドルを調達しました。報道時点で、Hinkalは公式Xアカウントまたは公式ウェブサイトでこの攻撃事件について公にコメントしていません。