

2026年7月3日,专注于链上交易隐私保护的DeFi协议Hinkal遭遇重大安全事件,导致约83万美元的USDC资产被非法转移。攻击发生后数小时内,资金经由多个混币服务及跨链桥完成匿名化处理,进一步加剧了追查难度。
区块链安全机构CertiK率先披露此次攻击的技术细节。调查指出,一名外部账户(地址0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20)向Hinkal的智能合约发起异常的‘无证明存款’操作,并随即执行多轮‘Transact’调用,从而绕过验证机制完成资金提取。
CertiK在社交平台X上确认,此次盗取金额超过80万美元。而PeckShield援引链上分析师Specter的追踪数据,估算实际损失为82万美元,几乎等同于协议当时全部锁仓价值。
据CertiK后续分析,攻击者将窃得的USDC兑换为以太坊(ETH),其中410枚ETH(估值约70万美元)被转入美国政府已列入制裁名单的Tornado Cash混币器。另有44.67枚ETH经由Thorchain反向桥接至比特币网络,最终进入一个以bc1qr2sf开头的比特币地址。
这种结合受控混币器与跨链桥的洗钱模式,在过去一年中已被多个反欺诈组织多次识别。一篇发表于ACM Web Conference 2026的研究表明,尽管监管压力上升,被禁用的混币工具仍持续为非法资金提供匿名通道。CertiK报告指出,即使在制裁背景下,黑客群体与合规用户对Tornado Cash的使用行为趋于一致,令执法机构难以有效甄别恶意活动。
Hinkal旨在为机构级用户提供链上交易隐私保护,支持以太坊、Arbitrum、Base、Polygon和OP Mainnet五条主流链。其核心功能包括生成隐蔽地址、隐藏余额与交易对手信息,实现完全匿名化的转账与兑换。
根据公开融资记录,该协议通过种子轮及战略投资从Draper Associates、Quantstamp与NGC Ventures等机构获得总计550万美元资金。就在事件发生前一日,Hinkal宣布与钱包服务商Turnkey达成合作,计划为其用户提供原生隐私功能。
虽然本次被盗金额(82万美元)相较于大型协议如Tornado Cash(4.4亿美元)或Railgun(7750万美元)属较小规模,但考虑到攻击时Hinkal的总锁仓价值(TVL)仅为82.9万美元,这意味着几乎所有用户资产均遭清空。
这一事件不仅暴露了高隐私性协议在智能合约安全性上的短板,也引发对其能否真正保障用户机密性的质疑。在隐私赛道中,Hinkal此前排名靠后,仅略高于Privacy Pools(780万美元TVL)。
截至本文发布,Hinkal尚未在官方社交媒体或官网发布任何正式声明,外界对其后续应对措施尚无明确信息。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.