币圈界报道:

Hinkal协议遭针对性攻击,巨额资产被清空

2026年7月3日,专注于链上隐私保护的DeFi协议Hinkal遭受重大网络安全事件,导致约83万美元的USDC资产被盗。攻击发生后,犯罪分子迅速通过混币服务与跨链通道完成资金转移,进一步加剧了市场对去中心化隐私技术可信度的质疑。

漏洞被恶意利用:无证明存款成攻击入口

区块链安全机构CertiK确认,此次攻击源于一个外部账户(地址0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20)向Hinkal智能合约发起异常的“无证明存款”操作。随后,该账户连续调用多个“Transact”函数,实现资金提取。

据CertiK在X平台披露,被盗金额超过80万美元;而PeckShield引用链上分析师Specter的数据指出,实际损失约为82万美元,几乎覆盖协议全部锁定资产。

资金路径复杂化:多层洗钱规避追踪

CertiK后续追踪发现,攻击者将盗取的USDC兑换为以太坊(ETH),其中410枚ETH(价值约70万美元)转入被美国政府列入制裁名单的Tornado Cash。另有44.67枚ETH经由Thorchain跨链至比特币网络,最终流入一个以bc1qr2sf开头的比特币地址。

这种结合受控混币器与跨链桥的洗钱模式,在过去一年中已被多起类似攻击验证。一项发表于ACM Web Conference 2026的研究表明,尽管监管持续施压,被禁用的混币工具仍广泛用于掩盖非法资金流向。CertiK报告亦强调,即便面临法律限制,黑客依然频繁使用这些协议,使得执法部门难以甄别合法用户与犯罪行为之间的界限。

协议定位与融资背景:高调布局却脆弱落地

Hinkal自称是面向机构用户的链上隐私基础设施,支持以太坊、Arbitrum、Base、Polygon及OP Mainnet等五条主流链。其核心功能在于生成隐蔽地址,实现交易匿名化,避免暴露余额或对手方信息。

该协议曾获Draper Associates、Quantstamp与NGC Ventures等知名投资方青睐,累计融资达550万美元。就在攻击前一日,其宣布与钱包服务商Turnkey达成合作,计划为其用户提供集成式隐私功能。

TVL近乎归零:小规模攻击引发信任崩塌

尽管本次攻击造成的绝对金额相对有限,但考虑到当时Hinkal在五条链上的总锁仓价值(TVL)仅为82.9万美元,意味着几乎全部用户资产被席卷一空。

这一事件不仅暴露了专注隐私保护的DeFi协议在智能合约安全性方面的短板,也引发了对这类项目能否真正保障用户数据机密性的深度反思。

按当前数据,其主要竞争对手包括Tornado Cash(4.4亿美元TVL)、Railgun(7750万美元)和Privacy Pools(780万美元)。在被攻击前,Hinkal在隐私协议领域排名靠后,此次事件更使其声誉雪上加霜。

截至本文发布时,Hinkal尚未在官方社交媒体或官网发布任何公开声明,未回应攻击细节或后续处置方案。