Kerugian akibat celah keamanan Hinkal DeFi mencapai 820 ribu dolar AS, dengan 410 ETH terlibat dalam pencucian uang.

ETH6,09%
ARB1,49%
OP4,10%

Protokol privasi DeFi Hinkal mengalami serangan kerentanan kontrak pintar pada 3 Juli, mengakibatkan kerugian sekitar 820 ribu dolar AS USDC. Perusahaan keamanan blockchain CertiK mendeteksi serangan terlebih dahulu, menunjukkan bahwa penyerang menggunakan akun eksternal, melakukan beberapa deposit ke kontrak pintar Hinkal setelah menjalankan operasi "no proof of deposit", lalu menarik USDC. Dana curian ditukar menjadi Ethereum, dengan 410 ETH terlibat dalam pencucian uang.

CertiK: Penyerang Menarik USDC dari Kontrak Pintar Hinkal melalui Kerentanan 'No Proof of Deposit'

Menurut laporan keamanan CertiK di X, penyerang menggunakan alamat akun eksternal (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, setelah menjalankan operasi yang disebut CertiK sebagai 'no proof of deposit', melakukan serangkaian operasi deposit ke kontrak pintar Hinkal, sehingga dapat menarik USDC tanpa perlu memberikan bukti deposit yang valid.

Jumlah curian yang dilaporkan CertiK melebihi 800 ribu dolar AS; analisis penyelidik on-chain Specter (dikutip oleh PeckShield) menunjukkan bahwa kerugian aktual Hinkal sekitar 820 ribu dolar AS.

Jalur Pencucian Dana Curian: USDC Ditukar ke ETH Lalu Ditransfer melalui Tornado Cash dan Thorchain

Menurut analisis lanjutan dari CertiK dan PeckShield, jalur transfer dana curian adalah sebagai berikut:

Pertukaran USDC → ETH: USDC curian ditukar menjadi Ethereum (ETH) dalam beberapa jam setelah serangan.

Tornado Cash: 410 ETH (sekitar 700 ribu dolar AS) disetorkan ke Tornado Cash, sebuah mixer Ethereum yang terkena sanksi pemerintah AS.

Thorchain Bridge: 44,67 ETH ditransfer dari blockchain Ethereum ke blockchain Bitcoin melalui Thorchain.

Alamat Tujuan Bitcoin: Dana akhirnya mencapai alamat Bitcoin yang dimulai dengan bc1qr2sf.

PeckShield menunjukkan bahwa pola pencucian uang dengan menukar USDC menjadi Bitcoin melalui jembatan lintas rantai telah diamati dan dicatat oleh lembaga anti-penipuan dalam lebih dari satu tahun terakhir dalam banyak peristiwa peretasan DeFi.

TVL Hinkal Sebelum Serangan adalah 829 Ribu Dolar AS, Hampir Habis Semua

Menurut data DeFiLlama, TVL Hinkal pada saat serangan hanya 829 ribu dolar AS, kerugian sekitar 820 ribu dolar AS berarti hampir semua deposito pengguna dicuri. Dibandingkan dengan pesaing protokol privasi, TVL Tornado Cash adalah 440 juta dolar AS, Railgun 77,5 juta dolar AS, Privacy Pools 7,8 juta dolar AS, Hinkal mendekati posisi terbawah dalam peringkat protokol privasi sebelum serangan.

Latar Belakang Hinkal: Beroperasi di Lima Blockchain, Pernah Menggalang Dana 5,5 Juta Dolar AS

Menurut laporan, Hinkal memposisikan dirinya sebagai lapisan privasi transaksi on-chain tingkat institusi, memungkinkan pengguna untuk membuat alamat tersembunyi dan melakukan pertukaran, transfer, dan pembayaran di blockchain publik tanpa mengungkapkan saldo dompet atau informasi pihak lawan; protokol ini diterapkan di Ethereum, Arbitrum, Base, Polygon, dan OP Mainnet. Hinkal pernah mengumpulkan 5,5 juta dolar AS dari Draper Associates, Quantstamp, dan NGC Ventures melalui putaran seed dan pendanaan strategis.

Sehari sebelum serangan, Hinkal mengumumkan kemitraan dengan penyedia infrastruktur dompet Turnkey, berencana untuk menyediakan fitur privasi bagi pengguna Turnkey. Hingga berita ini diturunkan, Hinkal belum memberikan tanggapan publik mengenai serangan ini di akun X resmi atau situs web resmi.

Pertanyaan Umum

Bagaimana serangan Hinkal ini terjadi?

Menurut analisis keamanan CertiK, penyerang memanfaatkan kerentanan 'no proof of deposit' pada kontrak pintar Hinkal, melakukan beberapa operasi deposit tanpa memberikan bukti deposit yang valid, dan menarik USDC sekitar 820 ribu dolar AS; jumlah curian hampir setara dengan seluruh TVL protokol di lima blockchain (829 ribu dolar AS).

Ke mana akhirnya dana curian mengalir?

Menurut analisis CertiK dan PeckShield, USDC curian ditukar menjadi ETH, 410 ETH (sekitar 700 ribu dolar AS) disetorkan ke Tornado Cash; 44,67 ETH dijembatani melalui Thorchain ke blockchain Bitcoin, mencapai alamat Bitcoin yang dimulai dengan bc1qr2sf.

Apa itu protokol Hinkal, dan apakah ada tanggapan resmi saat ini?

Menurut laporan, Hinkal adalah protokol privasi on-chain tingkat institusi, diterapkan di Ethereum, Arbitrum, Base, Polygon, dan OP Mainnet, pernah menggalang dana 5,5 juta dolar AS; hingga berita ini diturunkan, Hinkal belum memberikan tanggapan publik mengenai serangan ini di akun X resmi atau situs web resmi.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar