Уязвимость Hinkal DeFi привела к потере 82 млн долларов, 410 ETH замешаны в отмывании денег.

ETH6,09%
ARB1,49%
OP4,10%

DeFi-протокол конфиденциальности Hinkal 3 июля подвергся атаке через уязвимость в смарт-контракте, потеряв около 820 тыс. долларов в USDC. Компания по блокчейн-безопасности CertiK первой обнаружила атаку, указав, что злоумышленник использовал внешний аккаунт, выполнив несколько депозитов в смарт-контракт Hinkal после операции «без доказательства депозита» и вывел USDC. Похищенные средства были обменены на Ethereum, из которых 410 ETH были вовлечены в отмывание денег.

CertiK: Злоумышленник вывел USDC из смарт-контракта Hinkal через уязвимость «отсутствия доказательства депозита»

Согласно отчету безопасности CertiK в X, злоумышленник использовал адрес внешнего аккаунта (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, выполнив серию депозитных операций в смарт-контракт Hinkal после того, как CertiK назвал операцией «без доказательства депозита» (no proof of deposit), что позволило вывести USDC без предоставления действительного доказательства депозита.

CertiK сообщил о сумме похищенного свыше 80 тыс. долларов; анализ ончейн-исследователя Specter (со ссылкой на PeckShield) показал, что фактические потери Hinkal составили около 820 тыс. долларов.

Путь отмывания похищенных средств: обмен USDC на ETH с последующим переводом через Tornado Cash и Thorchain

Согласно последующему анализу CertiK и PeckShield, путь перевода похищенных средств выглядит следующим образом:

USDC → обмен на ETH: похищенный USDC был обменян на Ethereum (ETH) в течение нескольких часов после атаки.

Tornado Cash: 410 ETH (около 700 тыс. долларов) были отправлены в Tornado Cash — одобренный правительством США миксер Ethereum.

Мост Thorchain: 44,67 ETH были переведены через Thorchain из блокчейна Ethereum в блокчейн Bitcoin.

Целевой адрес Bitcoin: средства в конечном итоге поступили на биткоин-адрес, начинающийся с bc1qr2sf.

PeckShield отметил, что схема отмывания USDC в Bitcoin через кросс-чейн мосты была зафиксирована антифрод-агентствами во время более чем одного взлома DeFi за последний год.

TVL Hinkal до атаки составлял 829 тыс. долларов, почти все средства были выведены

Согласно данным DeFiLlama, TVL Hinkal на момент атаки составлял всего 829 тыс. долларов, и потеря около 820 тыс. долларов означает, что почти все депозиты пользователей были украдены. По сравнению с конкурентами в сфере конфиденциальности, TVL Tornado Cash составляет 440 миллионов долларов, Railgun — 77,5 миллиона долларов, Privacy Pools — 7,8 миллиона долларов; Hinkal находился почти в самом низу рейтинга протоколов конфиденциальности до атаки.

Справка о Hinkal: работа на пяти блокчейнах, привлечение 5,5 миллиона долларов финансирования

Согласно сообщениям, Hinkal позиционирует себя как институциональный уровень конфиденциальности для ончейн-транзакций, позволяя пользователям создавать скрытые адреса и выполнять обмен, переводы и платежи в публичных блокчейнах, не раскрывая балансы кошельков или информацию о контрагентах; протокол развернут на Ethereum, Arbitrum, Base, Polygon и OP Mainnet. Hinkal привлек 5,5 миллиона долларов через посевной и стратегический раунды от Draper Associates, Quantstamp и NGC Ventures.

За день до атаки Hinkal объявил о партнерстве с поставщиком инфраструктуры кошельков Turnkey, планируя предоставить функции конфиденциальности пользователям Turnkey. На момент публикации Hinkal не сделал публичного заявления об этой атаке в своем официальном аккаунте X или на веб-сайте.

Часто задаваемые вопросы

Как произошла эта атака на Hinkal?

Согласно анализу безопасности CertiK, злоумышленник использовал уязвимость «отсутствия доказательства депозита» в смарт-контракте Hinkal, выполнив несколько депозитных операций без предоставления действительного доказательства депозита, и вывел около 820 тыс. долларов в USDC; похищенная сумма почти равна общему TVL протокола на пяти блокчейнах (829 тыс. долларов).

Куда в конечном итоге были направлены похищенные средства?

Согласно анализу CertiK и PeckShield, похищенный USDC был обменян на ETH, после чего 410 ETH (около 700 тыс. долларов) были отправлены в Tornado Cash; 44,67 ETH были переведены через мост Thorchain в блокчейн Bitcoin, достигнув биткоин-адреса, начинающегося с bc1qr2sf.

Что такое протокол Hinkal и есть ли официальный ответ на данный момент?

Согласно сообщениям, Hinkal — это институциональный протокол конфиденциальности, развернутый на Ethereum, Arbitrum, Base, Polygon и OP Mainnet, который привлек 5,5 миллиона долларов финансирования; на момент публикации Hinkal не сделал публичного заявления об этой атаке в своем официальном аккаунте X или на веб-сайте.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев