币圈界报道:

Hinkal协议遭遇重大安全漏洞,逾80万美金资产被非法转移

基于零知识证明技术的Hinkal协议,旨在实现跨以太坊、Base、Arbitrum等主流链上的机密交易,支持稳定币的隐匿存取、转账与DeFi交互。该平台定位为机构级隐私解决方案,累计处理私人交易超5亿美元,并已完成多轮独立审计。

攻击路径揭示:绕过验证机制的隐蔽渗透

2026年7月3日,一名攻击者通过向Hinkal核心合约发起未经授权的“无证明存款”操作,继而连续调用“Transact”函数,成功绕开其隐私架构中的标准证明校验流程,致使约82万美元的USDC被非法提取。事件触发后,CertiK Alert系统迅速识别异常行为并发出预警。

攻击实施细节与资金流向追踪

攻击者使用EOA地址0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20,针对合约地址0x25e5e82f5702A27C3466fE68f14abDbbAdFca826执行恶意操作。被盗资产为USDC,总额介于80万至82万美元之间。后续资金被转换为以太坊,其中约410枚(价值约70万美元)进入Tornado Cash混币器,另有44.7枚经由THORChain桥接至比特币网络。

背景与生态定位再审视

在此次事件前,Hinkal已接受多次第三方安全审查,强调其合规性设计,包括在存款层集成KYT(了解你的交易)机制。协议融资规模达600万美元,目标服务于对链上透明度敏感的机构用户。然而,本次攻击暴露出其在复杂逻辑验证环节存在的深层缺陷。

行业影响与信任挑战

据DefiLlama数据显示,攻击发生时Hinkal各链总锁仓价值约为82.9万美元,主要集中在以太坊。被盗金额占其流动性比例极高,虽协议采用隔离式屏蔽池设计,但用户仍面临短期不确定性。由于未发行原生代币,无法获取价格波动数据,但整个隐私赛道正承受更大压力。

此事件是2026年系列针对隐私与跨链协议攻击的一部分。相较年初大规模漏洞,其规模较小,但模式相似。结合此前Solv Protocol因合约缺陷损失270万美元的案例,反映出该领域持续面临的验证机制脆弱性问题。未来,快速响应机制、透明复盘与强化验证层将成为维系用户信心的关键。