Vulnerabilidade Hinkal DeFi perde US$ 820 mil, 410 ETH envolvidos em lavagem de dinheiro.

ETH6,08%
ARB1,62%
OP4,10%

O protocolo de privacidade DeFi Hinkal sofreu um ataque de exploração de contrato inteligente em 3 de julho, resultando em perdas de aproximadamente US$ 820 mil em USDC. A empresa de segurança blockchain CertiK detectou o ataque primeiro, apontando que o invasor usou uma conta externa, realizou múltiplos depósitos no contrato inteligente da Hinkal após executar uma operação "sem prova de depósito" e sacou USDC. Os fundos roubados foram convertidos em Ethereum, com 410 ETH envolvidos em lavagem de dinheiro.

CertiK: Invasor sacou USDC do contrato inteligente da Hinkal através de vulnerabilidade "sem prova de depósito"

De acordo com o relatório de segurança da CertiK no X, o invasor usou um endereço de conta externa (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, após executar o que a CertiK chama de operação "sem prova de depósito", realizou uma série de operações de depósito no contrato inteligente da Hinkal, permitindo sacar USDC sem fornecer prova de depósito válida.

O valor roubado relatado pela CertiK ultrapassa US$ 800 mil; a análise do investigador on-chain Specter (citada pela PeckShield) mostra que a perda real da Hinkal foi de aproximadamente US$ 820 mil.

Rota de lavagem dos fundos roubados: USDC convertido em ETH e transferido via Tornado Cash e Thorchain

De acordo com análises subsequentes da CertiK e da PeckShield, a rota de transferência dos fundos roubados é a seguinte:

USDC → Conversão para ETH: O USDC roubado foi convertido em Ethereum (ETH) algumas horas após o ataque.

Tornado Cash: 410 ETH (cerca de US$ 700 mil) foram depositados no Tornado Cash, um misturador Ethereum sancionado pelo governo dos EUA.

Ponte Thorchain: 44,67 ETH foram transferidos da blockchain Ethereum para a blockchain Bitcoin através da Thorchain.

Endereço Bitcoin de destino: Os fundos eventualmente chegaram a um endereço Bitcoin começando com bc1qr2sf.

A PeckShield observou que o padrão de lavagem de USDC convertido em Bitcoin através de pontes cross-chain foi registrado por agências antifraude em mais de uma dúzia de ataques hacker DeFi no último ano.

TVL da Hinkal antes do ataque era de US$ 829 mil, quase todo esvaziado

De acordo com dados da DeFiLlama, a TVL da Hinkal no momento do ataque era de apenas US$ 829 mil, e a perda de aproximadamente US$ 820 mil significa que quase todos os depósitos dos usuários foram roubados. Em comparação com concorrentes de protocolos de privacidade, a TVL do Tornado Cash é de US$ 440 milhões, a Railgun é de US$ 77,5 milhões e a Privacy Pools é de US$ 7,8 milhões. A Hinkal estava perto do final do ranking de protocolos de privacidade antes do ataque.

Histórico da Hinkal: opera em cinco blockchains, captou US$ 5,5 milhões em financiamento

De acordo com relatos, a Hinkal se posiciona como uma camada de privacidade institucional para transações on-chain, permitindo que os usuários criem endereços blindados e realizem trocas, transferências e pagamentos em blockchains públicas sem expor saldos de carteiras ou informações de contraparte. O protocolo está implantado nas redes Ethereum, Arbitrum, Base, Polygon e OP Mainnet. A Hinkal levantou US$ 5,5 milhões em rodadas seed e estratégica com a Draper Associates, Quantstamp e NGC Ventures.

Um dia antes do ataque, a Hinkal anunciou uma parceria com a fornecedora de infraestrutura de carteiras Turnkey, planejando fornecer recursos de privacidade para os usuários da Turnkey. Até o momento da reportagem, a Hinkal não havia feito um pronunciamento público sobre este ataque em sua conta oficial no X ou em seu site.

Perguntas Frequentes

Como ocorreu o ataque à Hinkal?

De acordo com a análise de segurança da CertiK, o invasor explorou a vulnerabilidade "sem prova de depósito" no contrato inteligente da Hinkal, realizando múltiplas operações de depósito sem fornecer prova de depósito válida, sacando aproximadamente US$ 820 mil em USDC; o valor roubado foi quase igual à TVL total do protocolo em cinco blockchains (US$ 829 mil).

Para onde os fundos roubados foram eventualmente?

Conforme análise da CertiK e PeckShield, o USDC roubado foi convertido em ETH, e então 410 ETH (cerca de US$ 700 mil) foram depositados no Tornado Cash; 44,67 ETH foram transferidos para a blockchain Bitcoin via Thorchain, chegando a um endereço Bitcoin começando com bc1qr2sf.

O que é o protocolo Hinkal e há uma resposta oficial?

Segundo relatos, a Hinkal é um protocolo de privacidade institucional on-chain, implantado nas redes Ethereum, Arbitrum, Base, Polygon e OP Mainnet, tendo captado US$ 5,5 milhões em financiamento. Até o momento da reportagem, a Hinkal não havia feito um pronunciamento público sobre este ataque em sua conta oficial no X ou em seu site.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários