O protocolo de privacidade DeFi Hinkal sofreu um ataque de exploração de contrato inteligente em 3 de julho, resultando em perdas de aproximadamente US$ 820 mil em USDC. A empresa de segurança blockchain CertiK detectou o ataque primeiro, apontando que o invasor usou uma conta externa, realizou múltiplos depósitos no contrato inteligente da Hinkal após executar uma operação "sem prova de depósito" e sacou USDC. Os fundos roubados foram convertidos em Ethereum, com 410 ETH envolvidos em lavagem de dinheiro.
De acordo com o relatório de segurança da CertiK no X, o invasor usou um endereço de conta externa (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, após executar o que a CertiK chama de operação "sem prova de depósito", realizou uma série de operações de depósito no contrato inteligente da Hinkal, permitindo sacar USDC sem fornecer prova de depósito válida.
O valor roubado relatado pela CertiK ultrapassa US$ 800 mil; a análise do investigador on-chain Specter (citada pela PeckShield) mostra que a perda real da Hinkal foi de aproximadamente US$ 820 mil.
De acordo com análises subsequentes da CertiK e da PeckShield, a rota de transferência dos fundos roubados é a seguinte:
USDC → Conversão para ETH: O USDC roubado foi convertido em Ethereum (ETH) algumas horas após o ataque.
Tornado Cash: 410 ETH (cerca de US$ 700 mil) foram depositados no Tornado Cash, um misturador Ethereum sancionado pelo governo dos EUA.
Ponte Thorchain: 44,67 ETH foram transferidos da blockchain Ethereum para a blockchain Bitcoin através da Thorchain.
Endereço Bitcoin de destino: Os fundos eventualmente chegaram a um endereço Bitcoin começando com bc1qr2sf.
A PeckShield observou que o padrão de lavagem de USDC convertido em Bitcoin através de pontes cross-chain foi registrado por agências antifraude em mais de uma dúzia de ataques hacker DeFi no último ano.
De acordo com dados da DeFiLlama, a TVL da Hinkal no momento do ataque era de apenas US$ 829 mil, e a perda de aproximadamente US$ 820 mil significa que quase todos os depósitos dos usuários foram roubados. Em comparação com concorrentes de protocolos de privacidade, a TVL do Tornado Cash é de US$ 440 milhões, a Railgun é de US$ 77,5 milhões e a Privacy Pools é de US$ 7,8 milhões. A Hinkal estava perto do final do ranking de protocolos de privacidade antes do ataque.
De acordo com relatos, a Hinkal se posiciona como uma camada de privacidade institucional para transações on-chain, permitindo que os usuários criem endereços blindados e realizem trocas, transferências e pagamentos em blockchains públicas sem expor saldos de carteiras ou informações de contraparte. O protocolo está implantado nas redes Ethereum, Arbitrum, Base, Polygon e OP Mainnet. A Hinkal levantou US$ 5,5 milhões em rodadas seed e estratégica com a Draper Associates, Quantstamp e NGC Ventures.
Um dia antes do ataque, a Hinkal anunciou uma parceria com a fornecedora de infraestrutura de carteiras Turnkey, planejando fornecer recursos de privacidade para os usuários da Turnkey. Até o momento da reportagem, a Hinkal não havia feito um pronunciamento público sobre este ataque em sua conta oficial no X ou em seu site.
De acordo com a análise de segurança da CertiK, o invasor explorou a vulnerabilidade "sem prova de depósito" no contrato inteligente da Hinkal, realizando múltiplas operações de depósito sem fornecer prova de depósito válida, sacando aproximadamente US$ 820 mil em USDC; o valor roubado foi quase igual à TVL total do protocolo em cinco blockchains (US$ 829 mil).
Conforme análise da CertiK e PeckShield, o USDC roubado foi convertido em ETH, e então 410 ETH (cerca de US$ 700 mil) foram depositados no Tornado Cash; 44,67 ETH foram transferidos para a blockchain Bitcoin via Thorchain, chegando a um endereço Bitcoin começando com bc1qr2sf.
Segundo relatos, a Hinkal é um protocolo de privacidade institucional on-chain, implantado nas redes Ethereum, Arbitrum, Base, Polygon e OP Mainnet, tendo captado US$ 5,5 milhões em financiamento. Até o momento da reportagem, a Hinkal não havia feito um pronunciamento público sobre este ataque em sua conta oficial no X ou em seu site.
Notícias relacionadas
Standard Chartered: o mercado subestima gravemente o potencial do Uniswap para cooperação com finanças tradicionais, UNI sobe 13,3% em um único dia.
Ucrânia incorpora pela primeira vez ativos cripto apreendidos à gestão nacional, transferindo 8,3 milhões de USDT
Drift Protocol renomeou para Velocity DEX, plano de reinício após roubo de US$ 280 milhões
Perdas com hacks de criptomoedas caíram para US$ 75,9 milhões em junho, exploit do Humanity lidera