2026年7月3日,链上隐私协议Hinkal遭到攻击,攻击者窃取了约83万美元的USDC,并在数小时内通过混合和跨链桥服务转移了被盗加密货币。根据DeFiLlama的数据,攻击发生时Hinkal在五个区块链上的总锁仓价值(TVL)仅为82.9万美元,这意味着协议几乎所有的资产都被提走。
区块链安全公司CertiK标记了此次攻击。调查发现,黑客使用外部拥有账户(地址0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20),在对Hinkal的一个智能合约执行“无证明存款”后,发起了一系列“Transact”调用。CertiK表示,黑客从Hinkal窃取了超过80万美元。PeckShield根据链上调查员Specter的分析称,实际损失约为82万美元。
黑客迅速行动以掩盖罪行。CertiK后续分析显示,黑客将被盗USDC兑换为以太坊(ETH)。其中410 ETH(约70万美元)被存入美国制裁的Tornado Cash,另有44.67 ETH通过Thorchain跨链至比特币网络,最终地址以bc1qr2sf开头。
这种利用Tornado Cash和跨链桥将USDC转换为比特币的洗钱模式,在过去一年的DeFi攻击中已被反欺诈组织多次观察到。ACM Web Conference 2026发表的一篇研究论文显示,尽管监管压力加大,受制裁的加密货币混合器仍为洗钱资金提供匿名性。CertiK也在研究报告中指出,Tornado Cash的使用方式在制裁后发生了变化,但黑客和犯罪分子仍然像注重隐私的守法公民一样使用该协议,使得执法和反洗钱机构难以识别去中心化隐私基础设施中的犯罪活动。
Hinkal自称是面向机构的链上交易隐私层,允许用户创建隐蔽地址并在以太坊、Arbitrum、Base、Polygon和OP Mainnet上执行交易、转账和支付,而不暴露钱包余额或交易对手。根据DefiLlama,Hinkal通过种子轮和战略融资从Draper Associates、Quantstamp和NGC Ventures筹集了550万美元。攻击前一天,Hinkal宣布与钱包基础设施提供商Turnkey合作,为其用户提供隐私功能。
相比其他DeFi攻击,此次被盗金额较小(82万美元),但考虑到协议总价值(82.9万美元),损失几乎相当于全部TVL,用户存款实际上已归零。此次针对隐私DeFi协议的攻击,引发了对其处理机密交易智能合约安全性的严重质疑。据DefiLlama,Hinkal在隐私协议TVL排名中处于底部,主要竞争对手有Tornado Cash(4.4亿美元)、Railgun(7750万美元)和Privacy Pools(780万美元)。截至发稿,Hinkal尚未在其官方X账户或网站对此次攻击作出公开回应。
(本快讯由BlockWeeks编译整理自公开信息)
免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。