重點摘要:
- 攻擊者利用「無證明存款」漏洞,從 Hinkal 盜走約 83 萬美元 USDC。
- 遭竊資金經由 Tornado Cash 洗錢,並橋接至比特幣。
- 此次攻擊幾乎清空 Hinkal 共 82.9 萬美元的總鎖倉量。
重點摘要:

攻擊者在 7 月 3 日利用無證明存款漏洞,從鏈上隱私協議 Hinkal 的智能合約中盜走約 83 萬美元 USDC。
區塊鏈安全公司 CertiK 在 X 平台上發布警報表示:「我們已偵測到與 @hinkal_protocol 相關的可疑交易。該 EOA 地址在進行『無證明存款』後,連續執行多次『Transact』交易,從 Hinkal 合約中提取了約 80 萬美元 USDC。」
根據 PeckShield 及鏈上調查員 Specter 的說法,攻擊者將竊取的 USDC 兌換成以太幣,將 410 枚 ETH(約 70 萬美元)存入受制裁的混幣器 Tornado Cash,並透過 Thorchain 將 44.67 枚 ETH 橋接至比特幣。資金最終流向一個以 bc1qr2sf 開頭的比特幣地址。
此次漏洞攻擊幾乎清空了 Hinkal 共計 82.9 萬美元的總鎖倉量——該協議橫跨以太坊、Arbitrum、Base、Polygon 及 OP Mainnet 五條區塊鏈——導致用戶幾乎無任何存款可追回。Hinkal 曾從 Draper Associates、Quantstamp 及 NGC Ventures 募得 550 萬美元,並將自身定位為機構級的鏈上交易隱私層,允許用戶創建屏蔽地址進行兌換與轉帳。
此次利用 Tornado Cash 及跨鏈橋進行洗錢的手法,與過去一年來其他 DeFi 漏洞攻擊中觀察到的模式如出一轍。一篇發表於 2026 年 ACM 網路會議的研究論文顯示,儘管監管壓力加大,受制裁的加密貨幣混幣器仍持續為洗錢資金提供匿名性。CertiK 也記錄了自美國實施制裁以來 Tornado Cash 使用方式的演變,指出犯罪分子與注重隱私的用戶均依賴相同基礎設施,使執法工作更加複雜。
根據 DefiLlama 數據,按總鎖倉量計算,Hinkal 的主要競爭對手包括 Tornado Cash(4.4 億美元)、Railgun(7,750 萬美元)及 Privacy Pools(780 萬美元)。以漏洞攻擊前 82.9 萬美元的 TVL 來看,Hinkal 在隱私協議領域中排名接近墊底。該協議在攻擊發生前一天剛宣布與錢包基礎設施提供商 Turnkey 建立合作關係,但截至本文發稿時尚未對此次漏洞攻擊做出公開回應。
本文僅供參考,不構成投資建議。