攻擊者利用 Hinkal 隱私協議漏洞,通過 Tornado Cash將竊取的資金轉移至其他平臺,導致 82 萬美元被盜。
2026 年 7 月 3 日,攻擊者從鏈上隱私協議 Hinkal 竊取了價值約 83 萬美元的 USDC,並在攻擊發生後的幾個小時內利用混合和橋接服務轉移了被盜的加密貨幣。.
本已艱難的處境 DeFi 。 根據 DeFiLlama,Hinkal在攻擊發生時在五個區塊鏈上的總鎖定價值(TVL)僅爲82.9萬美元,這意味着該協議幾乎所有資產都被盜走。
攻擊者利用無證據存款漏洞榨乾了 Hinkal 的資金。
此次攻擊由區塊鏈安全公司 CertiK 發出警報。調查發現,黑客使用了一個外部賬戶(地址爲 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20),在向 Hinkal 的一個智能合約執行了 CertiK 所稱的“無證明存款”後,執行了一系列“Transact”調用trac在 X 上報告稱 ,黑客從 Hinkal 竊取了超過 80 萬美元。
我們檢測到涉及 @hinkal_protocol 的可疑交易。EOA 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20 在一次“無憑證存款”後進行了多次“交易”操作,試圖盜取價值約 80 萬美元的 Hinkal USDCtrac資金。請保持警惕!
PeckShield 表示 ,根據鏈上調查員 Specter 的分析,Hinkal 實際損失的加密貨幣金額約爲 82 萬美元。
黑客迅速採取行動掩蓋犯罪活動。CertiK 的後續分析 顯示,黑客已成功將竊取的 USDC 兌換成 Ethereum (ETH)。
PeckShield 報道,黑客將 410 個 ETH(約 70 萬美元)存入 Tornado Cash,這是一個著名的 Ethereum 混合器,目前受到美國政府的制裁。此外,黑客還通過 Thorchain 將 44.67 個 ETH 從 Ethereum 區塊鏈轉移到 Bitcoin 區塊鏈,最終到達一個 Bitcoin 地址 以。
使用 Tornado Cash 和跨鏈橋將 USDC 轉換爲 Bitcoin 是一種洗錢模式,反欺詐組織在過去一年中發生的其他 DeFi 貨幣化黑客攻擊事件中也觀察到了這種模式。.
在 2026 年 ACM 網絡會議上發表的一篇研究文章表明,儘管政府監管機構施加了越來越大的壓力,要求停止這種做法,但受制裁的加密貨幣混合器仍然繼續爲洗錢資金提供匿名性。
CertiK 在一份研究報告中也指出,自美國政府實施制裁以來,Tornado Cash 使用方式發生了變化。然而,黑客和犯罪分子仍然以與重視隱私的守法公民相同的方式使用該協議,這使得執法部門和反洗錢機構難以dent去中心化隱私基礎設施內發生的犯罪活動。
欣卡爾做什麼
Hinkal 將自身定位爲機構級鏈上交易隱私層。該協議允許用戶創建屏蔽地址,並在公共區塊鏈上執行兌換、轉賬和支付操作,而無需透露錢包餘額詳情或交易對手信息。該協議可在 Ethereum、Arbitrum、Base、Polygon 和 OP 主網上運行。
據 DefiLlama 報道,該協議通過種子輪和戰略融資,從 Draper Associates、Quantstamp 和 NGC Ventures 等投資者處籌集了 550 萬美元。Hinkal 在黑客攻擊事件發生的前一天宣佈,他們已與錢包基礎設施提供商 Turnkey 達成合作,爲 Turnkey 用戶提供隱私功能。.
漏洞利用幾乎抹去了欣卡爾的所有TVL
與其他新聞報道中提及的 DeFi 攻擊相比,此次攻擊造成的資金損失相對較小(82萬美元)。然而,與該協議的總價值(82.9萬美元)相比,損失如此大比例的資金意味着用戶實際上損失了他們的存款。.
此外,這種針對 DeFi 協議的攻擊主要針對用戶隱私,這引發了人們對這些 DeFi 協議在爲其處理客戶dent交易的智能trac實施安全措施時安全性的嚴重質疑。.
根據 DefiLlama 的數據,Hinkal 最接近的競爭對手(按 TVL 計算)包括 Tornado Cash (4.4 億美元)、Railgun(7750 萬美元)和 Privacy Pools(780 萬美元)。在漏洞利用前的 TVL 水平下,Hinkal 在隱私協議排名中接近墊底。.
截至發稿時,Hinkal 尚未在其官方 X 帳戶或網站上就此漏洞發佈公開回應。.
最頂尖的加密貨幣專家都在閱讀我們的簡報。想 加入他們?









