Perda de 820 mil dólares devido a vulnerabilidade na Hinkal DeFi, 410 ETH envolvidos em lavagem de dinheiro.

ETH6,09%
ARB1,49%
OP4,10%

O protocolo de privacidade DeFi Hinkal foi alvo de um ataque a 3 de julho devido a uma vulnerabilidade no contrato inteligente, resultando numa perda de aproximadamente 820 mil dólares em USDC. A empresa de segurança blockchain CertiK detetou o ataque em primeiro lugar, indicando que o atacante utilizou uma conta externa (EOA), realizou várias operações de depósito no contrato inteligente Hinkal após executar uma operação de «prova de depósito» nula, e retirou USDC. Os fundos roubados foram convertidos em Ethereum, com 410 ETH envolvidos no branqueamento de capitais.

CertiK: Atacante retirou USDC do contrato inteligente Hinkal através de vulnerabilidade de «prova de depósito» nula

De acordo com o relatório de segurança da CertiK no X, o atacante utilizou o endereço EOA 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20 e, após executar a operação que a CertiK designa por «prova de depósito» nula (no proof of deposit), efetuou uma série de depósitos no contrato inteligente Hinkal, conseguindo retirar USDC sem fornecer uma prova de depósito válida.

O montante roubado reportado pela CertiK ultrapassa os 800 mil dólares; a análise do investigador on-chain Specter (citada pela PeckShield) indica que a perda real da Hinkal foi de cerca de 820 mil dólares.

Rota de branqueamento dos fundos roubados: USDC convertido em ETH e depois transferido via Tornado Cash e Thorchain

De acordo com as análises subsequentes da CertiK e PeckShield, a rota de transferência dos fundos roubados é a seguinte:

Conversão USDC → ETH: O USDC roubado foi convertido em Ethereum (ETH) nas horas seguintes ao ataque.

Tornado Cash: 410 ETH (cerca de 700 mil dólares) foram depositados no Tornado Cash, um misturador Ethereum sancionado pelo governo dos EUA.

Ponte Thorchain: 44,67 ETH foram transferidos da blockchain Ethereum para a blockchain Bitcoin através da Thorchain.

Endereço Bitcoin de destino: Os fundos acabaram por chegar a um endereço Bitcoin que começa com bc1qr2sf.

A PeckShield observou que o padrão de branqueamento, com USDC convertido em Bitcoin através de pontes cross-chain, foi registado por entidades antifraude em mais de uma dúzia de ataques a DeFi nos últimos anos.

TVL da Hinkal antes do ataque era de 829 mil dólares, praticamente todo esvaziado

Segundo dados da DeFiLlama, a TVL da Hinkal no momento do ataque era de apenas 829 mil dólares, e esta perda de cerca de 820 mil dólares significa que quase todos os depósitos dos utilizadores foram roubados. Em comparação com concorrentes de protocolos de privacidade, a TVL do Tornado Cash é de 440 milhões de dólares, a do Railgun é de 77,5 milhões de dólares e a do Privacy Pools é de 7,8 milhões de dólares; a Hinkal estava perto do fundo da tabela entre os protocolos de privacidade antes do ataque.

Contexto da Hinkal: opera em cinco blockchains, angariou 5,5 milhões de dólares

Segundo relatos, a Hinkal posiciona-se como uma camada de privacidade institucional para transações on-chain, permitindo que os utilizadores criem endereços protegidos e realizem trocas, transferências e pagamentos na blockchain pública sem revelar saldos de carteiras ou contrapartes. O protocolo está implantado nas redes Ethereum, Arbitrum, Base, Polygon e OP Mainnet. A Hinkal angariou 5,5 milhões de dólares em rondas seed e estratégicas com a Draper Associates, Quantstamp e NGC Ventures.

Um dia antes do ataque, a Hinkal anunciou uma parceria com o fornecedor de infraestrutura de carteiras Turnkey, com planos de oferecer funcionalidades de privacidade aos utilizadores da Turnkey. Até ao momento da reportagem, a Hinkal não fez qualquer declaração pública sobre o ataque na sua conta oficial X ou no seu site.

Perguntas Frequentes

Como ocorreu o ataque à Hinkal?

De acordo com a análise de segurança da CertiK, o atacante explorou a vulnerabilidade de «prova de depósito» nula no contrato inteligente Hinkal, realizando várias operações de depósito sem fornecer uma prova de depósito válida, retirando cerca de 820 mil dólares em USDC. O montante roubado equivale praticamente à TVL total do protocolo nas cinco blockchains (829 mil dólares).

Para onde foram os fundos roubados?

Segundo as análises da CertiK e PeckShield, o USDC roubado foi convertido em ETH; 410 ETH (cerca de 700 mil dólares) foram depositados no Tornado Cash; 44,67 ETH foram transferidos para a blockchain Bitcoin através da Thorchain, chegando a um endereço Bitcoin que começa com bc1qr2sf.

O que é o protocolo Hinkal e houve resposta oficial?

Segundo relatos, a Hinkal é um protocolo de privacidade institucional on-chain, implantado nas redes Ethereum, Arbitrum, Base, Polygon e OP Mainnet, que angariou 5,5 milhões de dólares. Até ao momento da reportagem, a Hinkal não fez qualquer declaração pública sobre o ataque na sua conta oficial X ou no seu site.

Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.
Comentar
0/400
Nenhum comentário