DeFi-протокол конфиденциальности Hinkal 3 июля подвергся атаке через уязвимость в смарт-контракте, потеряв около 820 тыс. долларов в USDC. Компания по блокчейн-безопасности CertiK первой обнаружила атаку, указав, что злоумышленник использовал внешний аккаунт, выполнив несколько депозитов в смарт-контракт Hinkal после операции «без доказательства депозита» и вывел USDC. Похищенные средства были обменены на Ethereum, из которых 410 ETH были вовлечены в отмывание денег.
Согласно отчету безопасности CertiK в X, злоумышленник использовал адрес внешнего аккаунта (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, выполнив серию депозитных операций в смарт-контракт Hinkal после того, как CertiK назвал операцией «без доказательства депозита» (no proof of deposit), что позволило вывести USDC без предоставления действительного доказательства депозита.
CertiK сообщил о сумме похищенного свыше 80 тыс. долларов; анализ ончейн-исследователя Specter (со ссылкой на PeckShield) показал, что фактические потери Hinkal составили около 820 тыс. долларов.
Согласно последующему анализу CertiK и PeckShield, путь перевода похищенных средств выглядит следующим образом:
USDC → обмен на ETH: похищенный USDC был обменян на Ethereum (ETH) в течение нескольких часов после атаки.
Tornado Cash: 410 ETH (около 700 тыс. долларов) были отправлены в Tornado Cash — одобренный правительством США миксер Ethereum.
Мост Thorchain: 44,67 ETH были переведены через Thorchain из блокчейна Ethereum в блокчейн Bitcoin.
Целевой адрес Bitcoin: средства в конечном итоге поступили на биткоин-адрес, начинающийся с bc1qr2sf.
PeckShield отметил, что схема отмывания USDC в Bitcoin через кросс-чейн мосты была зафиксирована антифрод-агентствами во время более чем одного взлома DeFi за последний год.
Согласно данным DeFiLlama, TVL Hinkal на момент атаки составлял всего 829 тыс. долларов, и потеря около 820 тыс. долларов означает, что почти все депозиты пользователей были украдены. По сравнению с конкурентами в сфере конфиденциальности, TVL Tornado Cash составляет 440 миллионов долларов, Railgun — 77,5 миллиона долларов, Privacy Pools — 7,8 миллиона долларов; Hinkal находился почти в самом низу рейтинга протоколов конфиденциальности до атаки.
Согласно сообщениям, Hinkal позиционирует себя как институциональный уровень конфиденциальности для ончейн-транзакций, позволяя пользователям создавать скрытые адреса и выполнять обмен, переводы и платежи в публичных блокчейнах, не раскрывая балансы кошельков или информацию о контрагентах; протокол развернут на Ethereum, Arbitrum, Base, Polygon и OP Mainnet. Hinkal привлек 5,5 миллиона долларов через посевной и стратегический раунды от Draper Associates, Quantstamp и NGC Ventures.
За день до атаки Hinkal объявил о партнерстве с поставщиком инфраструктуры кошельков Turnkey, планируя предоставить функции конфиденциальности пользователям Turnkey. На момент публикации Hinkal не сделал публичного заявления об этой атаке в своем официальном аккаунте X или на веб-сайте.
Согласно анализу безопасности CertiK, злоумышленник использовал уязвимость «отсутствия доказательства депозита» в смарт-контракте Hinkal, выполнив несколько депозитных операций без предоставления действительного доказательства депозита, и вывел около 820 тыс. долларов в USDC; похищенная сумма почти равна общему TVL протокола на пяти блокчейнах (829 тыс. долларов).
Согласно анализу CertiK и PeckShield, похищенный USDC был обменян на ETH, после чего 410 ETH (около 700 тыс. долларов) были отправлены в Tornado Cash; 44,67 ETH были переведены через мост Thorchain в блокчейн Bitcoin, достигнув биткоин-адреса, начинающегося с bc1qr2sf.
Согласно сообщениям, Hinkal — это институциональный протокол конфиденциальности, развернутый на Ethereum, Arbitrum, Base, Polygon и OP Mainnet, который привлек 5,5 миллиона долларов финансирования; на момент публикации Hinkal не сделал публичного заявления об этой атаке в своем официальном аккаунте X или на веб-сайте.
Связанные новости
Стэндарт Чартерд: рынок сильно недооценивает потенциал сотрудничества Uniswap с традиционными финансами, UNI вырос на 13,3% за день
Україна вперше включила конфісковані криптоактиви в державне управління, перевівши 8,3 мільйона USDT.
Drift Protocol переименован в Velocity DEX, план перезапуска после кражи на 280 миллионов долларов
Потери от крипто-взломов в июне снизились до 75,9 миллиона долларов, лидирует эксплойт Humanity.