

2026年7月3日,专注于链上交易隐私保护的Hinkal协议遭受重大网络安全事件,导致约83万美元的USDC资产被非法转移。此次攻击不仅暴露了其智能合约中的关键漏洞,更凸显了去中心化隐私基础设施在面临恶意行为时的脆弱性。
安全机构CertiK确认,攻击者通过一个外部控制地址(0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20)向Hinkal的智能合约发起所谓的“无证明存款”操作,随后连续调用多个“Transact”函数,实现资金的批量提取。
根据CertiK披露的数据,该攻击导致超过80万美元的资产流失;而PeckShield基于链上分析指出,实际损失金额约为82万美元,几乎覆盖协议当时全部的总锁仓价值。
后续追踪显示,攻击者将盗取的USDC兑换为以太坊(ETH),其中410枚ETH(估值约70万美元)被转入已被美国政府列入制裁名单的Tornado Cash混币器,另一部分则经由Thorchain跨链至比特币网络。
最终,这些资金流向一个以bc1qr2sf开头的比特币地址,完成了匿名化流程。此类手法在过去一年中频繁出现在其他高调的DeFi攻击事件中,显示出洗钱模式已趋于标准化。
ACM Web Conference 2026的一篇研究论文指出,尽管监管压力持续升级,被禁用的混币器仍维持活跃使用率。CertiK报告也证实,即使在制裁背景下,犯罪分子与合法用户对Tornado Cash的使用行为依然难以区分,极大增加了执法追踪难度。
Hinkal致力于为机构级用户提供链上交易隐私解决方案,支持以太坊、Arbitrum、Base、Polygon及OP Mainnet等多条主流链。其核心功能包括生成隐蔽地址、隐藏余额信息以及实现无需披露对手方的转账与支付。
据公开资料,该协议曾获Draper Associates、Quantstamp与NGC Ventures等知名投资方支持,累计融资达550万美元。在事件发生前一日,其刚宣布与钱包服务提供商Turnkey达成合作,计划为其用户提供隐私功能集成。
虽然本次被盗金额在整体DeFi攻击中属较小规模,但考虑到攻击时协议的总锁仓价值(TVL)仅为82.9万美元,意味着几乎所有用户资产均被清空。
这一情况引发了业界对隐私型DeFi协议安全性的广泛质疑——当协议以“不可追踪”为卖点时,其底层代码是否具备足够的抗攻击能力?尤其在面对可被操纵的无证明机制时,用户数据与资金的安全边界显得极为脆弱。
按当前TVL排名,Hinkal在隐私协议领域远落后于Tornado Cash(4.4亿美元)、Railgun(7750万美元)和Privacy Pools(780万美元)。此次事件进一步削弱了其在竞争格局中的地位。
截至本报道发布,Hinkal尚未在其官方社交平台或官网就此次事件作出正式回应,加剧了社区的不安情绪。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.