币圈界报道：

隐私协议HermesVault因重大安全缺陷永久停摆

依托Algorand网络构建的隐私型去中心化金融协议HermesVault，因一次严重安全漏洞攻击而正式终止运营。此次事件造成约261,000枚ALGO代币被非法转移，当时市场估值约为29,466美元。项目首席工程师Giulio Pizzini在公开渠道确认了这一结果，并披露了漏洞的技术成因。

取款验证逻辑存在可被绕过的安全缺口

据开发团队负责人透露，协议核心的零知识证明系统本身未受破坏，问题根源在于取款流程中密钥重置环节的安全防护机制失效。该缺陷允许攻击者在无需通过合法身份验证的前提下，直接完成资金提取操作。

目前相关漏洞已完成修复，已有230,000枚被盗代币返还至项目控制地址。尚有30,000枚代币下落不明，项目方已着手为受影响用户建立补偿通道。

受损用户可申请全额赔偿，需提交所有权证明

针对未能追回的30,000枚ALGO，所有曾持有受影响地址的用户具备申领全额退款资格。申请者须提供所涉地址的所有权证据及与交易相关的加密凭证。虽然官方未设定明确截止时间，但建议尽快提交材料以确保权益。

零知识系统非绝对安全，辅助逻辑同样关键

本次事件揭示了隐私型DeFi协议在架构设计上的深层风险。即便底层零知识技术经过多轮审计，其外围组件如资金提取脚本仍可能因实现偏差引发系统性崩塌。这警示行业必须对所有非核心模块实施同等强度的安全评估。

对于Algorand生态而言，知名隐私项目的终结或将促使社区重新审视匿名功能在监管趋严环境下的可持续性，尤其在全球范围内对链上隐私行为审查日益加强的背景下。

事件复盘：从漏洞爆发到协议终结的全过程

HermesVault因29,000美元级别的漏洞攻击宣告终结，再次印证去中心化金融领域面临的严峻安全挑战。尽管团队响应迅速并推动部分资金追回，但信任崩塌已不可逆，最终导致项目永久关停。受影响用户应立即通过官方渠道提交退款申请，以最大限度挽回损失。

常见疑问解答：漏洞细节与赔偿路径详解

问题一：漏洞具体出自何处？攻击者利用的是取款验证流程中密钥重置逻辑的缺陷，而非零知识证明本身，从而规避了必要身份校验。

问题二：当前资金追回情况如何？总计261,000枚ALGO被盗，其中230,000枚已成功返还，剩余30,000枚尚未寻获。

问题三：如何申请未追回代币的赔偿？用户需通过加密方式证明自身对受损地址的合法控制权，并提交相关交易凭证方可获得全额补偿。