Das DeFi-Privacy-Protokoll Hinkal wurde am 3. Juli durch eine Smart-Contract-Sicherheitslücke angegriffen und verlor etwa 820.000 US-Dollar in USDC. Das Blockchain-Sicherheitsunternehmen CertiK entdeckte den Angriff als Erstes und wies darauf hin, dass der Angreifer ein externes Konto (EOA) verwendete, nachdem er eine Operation ohne Einzahlungsnachweis durchgeführt hatte, mehrere Einzahlungen auf den Hinkal-Smart-Contract tätigte und USDC abhob. Die gestohlenen Gelder wurden in Ethereum umgetauscht, wobei 410 ETH in Geldwäsche verwickelt waren.
Laut dem Sicherheitsbericht von CertiK auf X verwendete der Angreifer die externe Kontoadresse (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, führte nach der von CertiK als „no proof of deposit" bezeichneten Operation eine Reihe von Einzahlungen auf den Hinkal-Smart-Contract durch und konnte USDC abheben, ohne einen gültigen Einzahlungsnachweis vorzulegen.
Der von CertiK gemeldete gestohlene Betrag lag bei über 800.000 US-Dollar; die Analyse des On-Chain-Ermittlers Specter (zitiert von PeckShield) zeigt, dass Hinkal tatsächlich etwa 820.000 US-Dollar verlor.
Laut der anschließenden Analyse von CertiK und PeckShield verlief der Transferweg der gestohlenen Gelder wie folgt:
USDC → ETH-Umtausch: Die gestohlenen USDC wurden innerhalb weniger Stunden nach dem Angriff in Ethereum (ETH) umgetauscht.
Tornado Cash: 410 ETH (etwa 700.000 US-Dollar) wurden in Tornado Cash eingezahlt, einem von der US-Regierung sanktionierten Ethereum-Mixer.
Thorchain-Brücke: 44,67 ETH wurden über Thorchain von der Ethereum-Blockchain zur Bitcoin-Blockchain transferiert.
Bitcoin-Zieladresse: Die Gelder erreichten schließlich eine Bitcoin-Adresse, die mit bc1qr2sf beginnt.
PeckShield wies darauf hin, dass das Geldwäschemuster, bei dem USDC über eine Cross-Chain-Brücke in Bitcoin umgetauscht wird, bei mehreren DeFi-Hackerangriffen im letzten Jahr von Anti-Betrugsbehörden beobachtet und dokumentiert wurde.
Laut DeFiLlama-Daten betrug Hinkals TVL zum Zeitpunkt des Angriffs nur 829.000 US-Dollar, und der Verlust von etwa 820.000 US-Dollar bedeutet, dass die Einlagen der Benutzer fast vollständig gestohlen wurden. Im Vergleich zu Konkurrenten im Privacy-Protokoll beträgt der TVL von Tornado Cash 440 Millionen US-Dollar, der von Railgun 77,5 Millionen US-Dollar und der von Privacy Pools 7,8 Millionen US-Dollar. Hinkal lag vor dem Angriff in der Rangliste der Privacy-Protokolle nahe am unteren Ende.
Berichten zufolge positioniert sich Hinkal als institutionelle Privacy-Schicht für On-Chain-Transaktionen, die es Benutzern ermöglicht, abgeschirmte Adressen zu erstellen und Tauschgeschäfte, Überweisungen und Zahlungen auf öffentlichen Blockchains durchzuführen, ohne Wallet-Guthaben oder Transaktionspartnerinformationen preiszugeben; das Protokoll ist auf Ethereum, Arbitrum, Base, Polygon und dem OP-Mainnet bereitgestellt. Hinkal hatte zuvor in einer Seed- und Strategiefinanzierungsrunde 5,5 Millionen US-Dollar von Draper Associates, Quantstamp und NGC Ventures eingesammelt.
Einen Tag vor dem Angriff gab Hinkal eine Partnerschaft mit dem Wallet-Infrastrukturanbieter Turnkey bekannt, um Turnkey-Nutzern Privacy-Funktionen anzubieten. Zum Zeitpunkt der Berichterstattung hat Hinkal auf seinem offiziellen X-Konto oder seiner Website keine öffentliche Stellungnahme zu diesem Angriff abgegeben.
Laut der Sicherheitsanalyse von CertiK nutzte der Angreifer die „No-Proof-of-Deposit"-Sicherheitslücke im Hinkal-Smart-Contract aus, führte mehrere Einzahlungsvorgänge ohne gültigen Einzahlungsnachweis durch und zog etwa 820.000 US-Dollar USDC ab; der gestohlene Betrag entspricht fast dem gesamten TVL des Protokolls auf fünf Blockchains (829.000 US-Dollar).
Laut der Analyse von CertiK und PeckShield wurden die gestohlenen USDC in ETH getauscht, 410 ETH (etwa 700.000 US-Dollar) in Tornado Cash eingezahlt; 44,67 ETH wurden über Thorchain zur Bitcoin-Blockchain überbrückt und erreichten eine Bitcoin-Adresse, die mit bc1qr2sf beginnt.
Berichten zufolge handelt es sich bei Hinkal um ein institutionelles On-Chain-Privacy-Protokoll, das auf Ethereum, Arbitrum, Base, Polygon und dem OP-Mainnet bereitgestellt ist und zuvor 5,5 Millionen US-Dollar eingesammelt hatte; zum Zeitpunkt der Berichterstattung hat Hinkal auf seinem offiziellen X-Konto oder seiner Website keine öffentliche Stellungnahme zu diesem Angriff abgegeben.
Related News
Standard Chartered: Markt unterschätzt das Potenzial der Zusammenarbeit von Uniswap mit traditionellem Finanzwesen massiv, UNI steigt an einem Tag um 13,3%
Die Ukraine hat erstmals beschlagnahmte Krypto-Assets in die staatliche Verwaltung aufgenommen und 8,3 Millionen USDT transferiert.
Drift Protocol wird zu Velocity DEX umbenannt, Neustartplan nach Diebstahl von 280 Millionen US-Dollar
Krypto-Hack-Verluste fielen im Juni auf 75,9 Millionen US-Dollar, Humanity-Exploit führt