
Злом протоколу конфіденційності Hinkal: викрадено майже всі активи
3 липня хакери здійснили успішну атаку на протокол конфіденційності Hinkal, вивівши з нього близько 830 000 стейблкоїнів USDC. Ця сума становила майже весь обсяг заблокованих активів (TVL) у протоколі, який на той момент оцінювався у $829 000 на п’яти різних блокчейнах. Фактично, зловмисники повністю знесли ліквідність з платформи.
Технічні деталі атаки
Фахівці з кібербезпеки компанії CertiK встановили, що для реалізації злому використовувався зовнішній обліковий запис з адресою 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20. Зловмисники здійснили кілька викликів функції «Transact» у смарт-контрактах Hinkal. Вони скористалися вразливістю, що дозволила виконати так званий «депозит без доказу» (proofless deposit) для виведення коштів.
Відмивання викрадених активів
Для ускладнення відстеження походження викрадених коштів, зловмисники оперативно конвертували отримані USDC в ефір (ETH). Частина коштів, а саме 410 ETH (приблизно $700 000), була внесена до криптоміксера Tornado Cash. Інші 44,67 ETH були переведені через децентралізований міст Thorchain з мережі Ethereum до блокчейну Bitcoin. Викрадені активи зрештою опинилися на адресі, що починається з `bc1qr2sf`.
Про Hinkal та його функціонал
Hinkal позиціонує себе як протокол конфіденційності, розроблений для корпоративних клієнтів, що дозволяє здійснювати транзакції без розкриття інформації про баланси гаманців та контрагентів. Протокол працює на п’яти блокчейнах: Ethereum, Arbitrum, Base, Polygon та OP Mainnet. У травні цього року протокол був інтегрований розробниками Polygon, щоб надати їхнім корпоративним клієнтам можливість приховувати транзакції зі стейблкоїнами. До цього інциденту Hinkal успішно залучив $5,5 мільйонів венчурного фінансування від компаній Draper Associates, Quantstamp та NGC Ventures. За день до злому Hinkal анонсував партнерство з Turnkey, постачальником інфраструктурних рішень для гаманців.
Загальна картина кіберзагроз у DeFi
У червні поточного року було зафіксовано 40 значних атак на кросчейн-мосты, протоколи децентралізованих фінансів (DeFi) та смарт-контракти. Загальна сума збитків від цих інцидентів склала близько $75,8 мільйонів. Найбільшою атакою в червні став злом протоколу Humanity.
Резюме Crypto Top: Злам протоколу Hinkal демонструє високі ризики, пов’язані з протоколами конфіденційності, навіть при наявності попередніх інвестицій та партнерств. Це може посилити недовіру до подібних рішень серед інвесторів та компаній, потенційно впливаючи на загальний розвиток DeFi-сектору.
