ثغرة في Hinkal DeFi تتسبب في خسائر بقيمة 820 ألف دولار، و410 إثيريوم متورطة في غسل الأموال.

ETH%6.09
ARB%1.49
OP%4.10

بروتوكول الخصوصية DeFi Hinkal تعرض لهجوم ثغرة عقد ذكي في 3 يوليو، بخسارة حوالي 820 ألف دولار أمريكي من USDC. شركة أمان البلوكشين CertiK كانت أول من اكتشف الهجوم، مشيرة إلى أن المهاجم استخدم حسابًا خارجيًا (EOA)، ونفذ عدة إيداعات في عقد Hinkal الذكي بعد عملية "إثبات إيداع زائف"، مما سمح له بسحب USDC. تم تحويل الأموال المسروقة إلى إيثيريوم، ودخل 410 ETH في عملية غسل أموال.

CertiK: المهاجم استغل ثغرة "إثبات إيداع زائف" لسحب USDC من عقد Hinkal الذكي

وفقًا لتقرير CertiK الأمني على X، استخدم المهاجم عنوان الحساب الخارجي (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20، وبعد تنفيذ ما أسمته CertiK عملية "إثبات إيداع زائف" (no proof of deposit)، أجرى سلسلة من عمليات الإيداع في عقد Hinkal الذكي، مما سمح له بسحب USDC دون تقديم إثبات إيداع صالح.

أشارت CertiK إلى أن المبلغ المسروق تجاوز 800 ألف دولار؛ وأظهر تحليل المحقق على السلسلة Specter (الذي استشهدت به PeckShield) أن الخسارة الفعلية لـ Hinkal تبلغ حوالي 820 ألف دولار.

مسار غسل الأموال المسروقة: تحويل USDC إلى ETH ثم نقلها عبر Tornado Cash وThorchain

وفقًا للتحليلات اللاحقة من CertiK وPeckShield، فإن مسار تحويل الأموال المسروقة كما يلي:

تحويل USDC → ETH: تم تحويل USDC المسروقة إلى إيثيريوم (ETH) في غضون ساعات من الهجوم.

Tornado Cash: تم إيداع 410 ETH (بقيمة حوالي 700 ألف دولار) في Tornado Cash، وهو خلاط إيثيريوم خاضع لعقوبات حكومة الولايات المتحدة.

جسر Thorchain: تم تحويل 44.67 إيثيريوم عبر Thorchain من سلسلة إيثيريوم إلى سلسلة البيتكوين.

عنوان البيتكوين المستهدف: وصلت الأموال في النهاية إلى عنوان بيتكوين يبدأ بـ bc1qr2sf.

أشارت PeckShield إلى أن نمط غسل الأموال عبر تحويل USDC إلى بيتكوين عبر الجسور قد تم رصده من قبل مؤسسات مكافحة الاحتيال في أكثر من هجوم DeFi خلال العام الماضي.

قبل الهجوم، كان TVL لـ Hinkal 829 ألف دولار، وتم إفراغه بالكامل تقريبًا

وفقًا لبيانات DeFiLlama، كان TVL لـ Hinkal وقت الهجوم 829 ألف دولار فقط، وخسارة حوالي 820 ألف دولار تعني أن ودائع المستخدمين سُرقت بالكامل تقريبًا. مقارنة بمنافسي بروتوكولات الخصوصية، فإن TVL لـ Tornado Cash يبلغ 440 مليون دولار، وRailgun 77.5 مليون دولار، وPrivacy Pools 7.8 مليون دولار، مما يجعل Hinkal في المرتبة الأخيرة تقريبًا في ترتيب بروتوكولات الخصوصية قبل الهجوم.

خلفية Hinkal: يعمل على خمس سلاسل بلوكتشين، وجمع 5.5 مليون دولار في التمويل

وفقًا للتقارير، يضع Hinkal نفسه كطبقة خصوصية للمعاملات على السلسلة من فئة المؤسسات، مما يسمح للمستخدمين بإنشاء عناوين محجوبة وتنفيذ عمليات التبادل والتحويل والدفع على البلوكشين العام دون الكشف عن أرصدة المحافظ أو معلومات الأطراف المقابلة؛ البروتوكول منشور على إيثيريوم وArbitrum وBase وPolygon وOP Mainnet. جمع Hinkal 5.5 مليون دولار من Draper Associates وQuantstamp وNGC Ventures عبر جولات تمويل أولية واستراتيجية.

قبل يوم من الهجوم، أعلن Hinkal عن شراكة مع مزود البنية التحتية للمحافظ Turnkey، بهدف توفير ميزات الخصوصية لمستخدمي Turnkey. حتى وقت التقرير، لم يصدر Hinkal ردًا عامًا على هذا الهجوم عبر حسابه الرسمي على X أو موقعه الإلكتروني.

أسئلة شائعة

كيف حدث هجوم Hinkal؟

وفقًا لتحليل CertiK الأمني، استغل المهاجم ثغرة "إثبات الإيداع الزائف" في عقد Hinkal الذكي، وأجرى عدة عمليات إيداع دون تقديم إثبات إيداع صالح، مما سمح له بسحب حوالي 820 ألف دولار من USDC؛ المبلغ المسروق يساوي تقريبًا إجمالي TVL للبروتوكول عبر خمس سلاسل (829 ألف دولار).

أين ذهبت الأموال المسروقة في النهاية؟

وفقًا لتحليل CertiK وPeckShield، تم تحويل USDC المسروقة إلى ETH، ثم تم إيداع 410 ETH (بقيمة حوالي 700 ألف دولار) في Tornado Cash؛ وتم تحويل 44.67 ETH عبر جسر Thorchain إلى سلسلة البيتكوين، ووصلت إلى عنوان بيتكوين يبدأ بـ bc1qr2sf.

ما هو بروتوكول Hinkal، وهل هناك رد رسمي حتى الآن؟

وفقًا للتقارير، Hinkal هو بروتوكول خصوصية على السلسلة من فئة المؤسسات، منشور على إيثيريوم وArbitrum وBase وPolygon وOP Mainnet، وجمع 5.5 مليون دولار في التمويل؛ حتى وقت التقرير، لم يصدر Hinkal ردًا عامًا على هذا الهجوم عبر حسابه الرسمي على X أو موقعه الإلكتروني.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة مستمدة من مصادر خارجية وهي للمرجعية فقط. لا تمثل هذه المعلومات آراء أو وجهات نظر Gate ولا تشكل أي نصيحة مالية أو استثمارية أو قانونية. ينطوي تداول الأصول الافتراضية على مخاطر عالية. يرجى عدم الاعتماد حصرياً على المعلومات الواردة في هذه الصفحة عند اتخاذ القرارات. لمزيد من التفاصيل، يرجى الرجوع على إخلاء المسؤولية.
تعليق
0/400
لا توجد تعليقات