

2026年7月3日,专注于链上交易隐私保护的协议Hinkal遭遇重大网络安全事故,据多方披露,攻击者在短时间内盗取了价值约82万美元的USDC。此次事件不仅对协议自身造成毁灭性打击,也进一步加剧了市场对去中心化隐私技术安全性的担忧。
安全机构CertiK确认,此次攻击源于一个外部账户(地址0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20)对Hinkal智能合约发起异常的“无证明存款”操作,随后连续触发多次“Transact”调用,从而实现资产提取。
调查数据显示,该账户在数分钟内完成了多笔高频率交易,最终成功将全部可用资金转移,反映出协议在身份验证与行为监控机制上的显著缺陷。
链上追踪显示,攻击者将被盗的USDC兑换为以太坊(ETH),其中410枚ETH(估值约70万美元)被存入已被美国政府列入制裁名单的Tornado Cash,另44.67枚ETH经由Thorchain跨链至比特币网络,最终流入一个以bc1qr2sf开头的比特币地址。
这一操作模式与过去一年中多起类似攻击高度一致,凸显出当前反欺诈体系在应对去中心化洗钱路径时的滞后性。
Hinkal自称为面向机构用户的链上隐私解决方案,支持以太坊、Arbitrum、Base、Polygon及OP Mainnet五大主网,其核心功能在于创建不可追踪的隐蔽地址,实现交易信息的完全隐藏。
尽管曾获得Draper Associates、Quantstamp和NGC Ventures等知名投资方共计550万美元融资,并在攻击前宣布与钱包平台Turnkey达成合作,但此次事件暴露出其在智能合约审计与实时风控方面的严重短板。
根据DeFiLlama数据,袭击发生时Hinkal的总锁仓价值(TVL)仅为82.9万美元,意味着本次攻击几乎掏空了协议所有用户资产,导致信任体系崩塌。
虽然被盗金额在整体DeFi攻击中属中低水平,但其占总资产比例高达99%以上,远超一般攻击的破坏程度,直接动摇了用户对其长期运营能力的信心。
在隐私协议领域,其竞争对手如Tornado Cash(TVL达4.4亿美元)、Railgun(7750万美元)及Privacy Pools(780万美元)均具备更强的生态支撑与抗攻击能力,而Hinkal此前在排名中处于末位,此次事件更显其脆弱性。
截至发稿,Hinkal官方尚未发布任何公开声明或应急方案,进一步引发社区对其治理透明度与责任担当的质疑。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.