币圈界报道:

Hinkal协议遭恶意调用攻击,逾80万USDC遭窃

基于零知识证明技术的Hinkal协议,旨在为以太坊、Base及Arbitrum等主流链提供可审计的机密交易服务。其功能涵盖稳定币的私密存取、转账、兑换以及与DeFi生态的交互,定位为面向机构用户的高安全性隐私解决方案,并已通过多轮独立审计。

攻击路径揭示:绕过核心验证机制

7月3日,一名匿名实体在以太坊主网向Hinkal核心合约发起未经授权的“无证明存款”操作,并连续执行多次“Transact”调用,成功提取约82万美元的USDC资产。该行为触发CertiK Alert系统警报,确认存在异常资金流动。

攻击技术细节与资金去向

攻击地址为0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20,目标合约为0x25e5e82f5702A27C3466fE68f14abDbbAdFca826。所涉资产主要为USDC,总额介于80万至82万美元之间。事后,约410枚以太坊(估值约70万美元)被注入Tornado Cash进行混币,另有44.7枚以太坊经由THORChain桥接至比特币网络。

协议背景与历史表现

在此次事件前,Hinkal已完成多次第三方安全审查,自称为具备合规能力的机构级隐私基础设施,累计处理私人交易量超5亿美元。项目融资规模达约600万美元,其存款层集成KYT(了解你的交易)机制以强化反洗钱控制。

生态影响与行业反思

据DefiLlama数据,攻击发生时Hinkal各链总锁仓价值约为82.9万美元,其中以太坊占比最高。被盗金额占其当前流动性比例显著,虽协议设计将隐私池与公开层隔离,但用户仍面临短期不确定性。由于无原生代币,未产生价格波动反应。然而,此事件再次暴露隐私协议在复杂零知识逻辑与验证流程中易受高级绕过攻击的深层风险。结合同期Solv Protocol因合约缺陷损失270万美元的案例,表明该领域持续面临技术成熟度与安全防护之间的张力。快速响应、透明复盘与强化验证机制,已成为维系用户信任的核心前提。