Lỗ hổng Hinkal DeFi thiệt hại 820 nghìn USD, 410 ETH liên quan đến rửa tiền

ETH6,41%
ARB1,58%
OP3,38%

Giao thức quyền riêng tư DeFi Hinkal đã bị tấn công khai thác lỗ hổng hợp đồng thông minh vào ngày 3 tháng 7, thiệt hại khoảng 820 nghìn USD USDC. Công ty bảo mật blockchain CertiK là đơn vị đầu tiên phát hiện vụ tấn công, chỉ ra rằng kẻ tấn công đã sử dụng tài khoản bên ngoài (EOA), thực hiện nhiều giao dịch nạp tiền vào hợp đồng thông minh của Hinkal sau khi thực hiện thao tác "không có bằng chứng nạp tiền", từ đó rút USDC. Số tiền bị đánh cắp đã được đổi thành Ethereum, trong đó 410 ETH bị cuốn vào hoạt động rửa tiền.

CertiK: Kẻ tấn công rút USDC từ hợp đồng thông minh Hinkal thông qua lỗ hổng "không có bằng chứng nạp tiền"

Theo báo cáo bảo mật của CertiK trên X, kẻ tấn công sử dụng địa chỉ tài khoản bên ngoài (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, sau khi thực hiện thao tác mà CertiK gọi là "không có bằng chứng nạp tiền" (no proof of deposit), đã thực hiện một loạt giao dịch nạp tiền vào hợp đồng thông minh của Hinkal, cho phép rút USDC mà không cần cung cấp bằng chứng nạp tiền hợp lệ.

CertiK báo cáo số tiền bị đánh cắp vượt quá 800 nghìn USD; phân tích của điều tra viên on-chain Specter (được PeckShield trích dẫn) cho thấy thiệt hại thực tế của Hinkal là khoảng 820 nghìn USD.

Đường đi rửa tiền của số tiền bị đánh cắp: USDC được đổi thành ETH sau đó chuyển qua Tornado Cash và Thorchain

Theo phân tích tiếp theo của CertiK và PeckShield, đường đi chuyển của số tiền bị đánh cắp như sau:

Đổi USDC → ETH: USDC bị đánh cắp đã được đổi thành Ethereum (ETH) trong vòng vài giờ sau vụ tấn công

Tornado Cash: 410 ETH (khoảng 700 nghìn USD) đã được gửi vào Tornado Cash, một máy trộn Ethereum bị chính phủ Mỹ trừng phạt

Cầu nối Thorchain: 44,67 ETH đã được chuyển từ blockchain Ethereum sang blockchain Bitcoin qua Thorchain

Địa chỉ Bitcoin đích: Số tiền cuối cùng đến địa chỉ Bitcoin bắt đầu bằng bc1qr2sf

PeckShield chỉ ra rằng mô hình rửa tiền đổi USDC thành Bitcoin qua cầu nối đã được các cơ quan chống gian lận ghi nhận trong nhiều vụ hack DeFi trong hơn một năm qua.

TVL của Hinkal trước vụ tấn công là 829 nghìn USD, gần như bị rút sạch

Theo dữ liệu DeFiLlama, TVL của Hinkal tại thời điểm bị tấn công chỉ là 829 nghìn USD, thiệt hại khoảng 820 nghìn USD đồng nghĩa với việc gần như toàn bộ số tiền gửi của người dùng đã bị đánh cắp. So với các đối thủ cạnh tranh trong lĩnh vực giao thức quyền riêng tư, TVL của Tornado Cash là 440 triệu USD, Railgun là 77,5 triệu USD, Privacy Pools là 7,8 triệu USD, Hinkal gần như đứng cuối trong bảng xếp hạng các giao thức quyền riêng tư trước vụ tấn công.

Bối cảnh Hinkal: Hoạt động trên 5 blockchain, từng huy động 5,5 triệu USD

Theo báo cáo, Hinkal tự định vị là một lớp quyền riêng tư giao dịch on-chain cấp tổ chức, cho phép người dùng tạo địa chỉ ẩn và thực hiện các giao dịch hoán đổi, chuyển tiền và thanh toán trên blockchain công khai mà không tiết lộ số dư ví hoặc thông tin đối tác giao dịch; giao thức được triển khai trên Ethereum, Arbitrum, Base, Polygon và OP Mainnet. Hinkal đã huy động được 5,5 triệu USD từ Draper Associates, Quantstamp và NGC Ventures thông qua các vòng gọi vốn hạt giống và chiến lược.

Một ngày trước vụ tấn công, Hinkal đã công bố hợp tác với nhà cung cấp hạ tầng ví Turnkey, lên kế hoạch cung cấp các tính năng quyền riêng tư cho người dùng Turnkey. Tính đến thời điểm báo cáo, Hinkal chưa có phản hồi chính thức về vụ tấn công này trên tài khoản X chính thức hoặc trang web.

Câu hỏi thường gặp

Vụ tấn công Hinkal này diễn ra như thế nào?

Theo phân tích bảo mật của CertiK, kẻ tấn công đã khai thác lỗ hổng "không có bằng chứng nạp tiền" trong hợp đồng thông minh của Hinkal, thực hiện nhiều giao dịch nạp tiền mà không cung cấp bằng chứng nạp tiền hợp lệ, rút ra khoảng 820 nghìn USD USDC; số tiền bị đánh cắp gần như tương đương với toàn bộ TVL (829 nghìn USD) của giao thức trên 5 blockchain.

Số tiền bị đánh cắp cuối cùng đã đi đâu?

Theo phân tích của CertiK và PeckShield, USDC bị đánh cắp đã được đổi thành ETH, sau đó 410 ETH (khoảng 700 nghìn USD) được gửi vào Tornado Cash; 44,67 ETH được chuyển qua cầu nối Thorchain sang blockchain Bitcoin, đến địa chỉ Bitcoin bắt đầu bằng bc1qr2sf.

Hinkal là giao thức gì, hiện tại có phản hồi chính thức không?

Theo báo cáo, Hinkal là giao thức quyền riêng tư on-chain cấp tổ chức, triển khai trên Ethereum, Arbitrum, Base, Polygon và OP Mainnet, từng huy động 5,5 triệu USD; tính đến thời điểm báo cáo, Hinkal chưa có phản hồi chính thức về vụ tấn công này trên tài khoản X chính thức hoặc trang web.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận