要点概览:
- 攻击者利用无证明存款漏洞从Hinkal盗走约83万美元USDC。
- 被盗资金通过Tornado Cash清洗并桥接至比特币网络。
- 此次攻击几乎清空了Hinkal总计82.9万美元的锁定总价值。
要点概览:

7月3日,攻击者利用无证明存款漏洞耗尽了链上隐私协议Hinkal的智能合约,盗走了约83万美元USDC。
"我们检测到涉及@hinkal_protocol的可疑交易,"区块链安全公司CertiK在X平台上发布警报称。"该外部拥有账户(EOA)在'无证明存款'后执行了多次'交易'操作,从Hinkal合约中盗走了约80万美元USDC。"
据PeckShield和链上调查员Specter称,攻击者将被盗的USDC兑换为以太坊,将410枚ETH(约70万美元)存入受制裁的加密货币混合器Tornado Cash,并通过Thorchain将44.67枚ETH桥接至比特币网络。这些资金最终流入一个以bc1qr2sf开头的比特币地址。
此次攻击几乎清空了Hinkal在以太坊、Arbitrum、Base、Polygon和OP Mainnet五条区块链上总计82.9万美元的锁定总价值(TVL),用户实际上已无任何存款可追回。Hinkal曾从Draper Associates、Quantstamp和NGC Ventures募集了550万美元资金,并将其自身定位为面向机构级用户的链上交易隐私层,允许用户创建用于兑换和转账的隐蔽地址。
利用Tornado Cash和跨链桥清洗赃款的做法,与过去一年其他DeFi攻击事件中观察到的模式如出一辙。2026年ACM网络会议(ACM Web Conference 2026)上发表的一篇研究论文表明,尽管监管压力不断加大,受制裁的加密货币混合器仍在为洗钱活动提供匿名性。CertiK还记录了自美国实施制裁以来Tornado Cash使用方式的演变,指出犯罪分子和注重隐私的用户都在依赖同一套基础设施,这使执法工作变得更加复杂。
据DefiLlama数据,按锁定总价值计算,Hinkal最接近的竞争对手包括Tornado Cash(4.4亿美元)、Railgun(7750万美元)和Privacy Pools(780万美元)。以攻击前82.9万美元的TVL计算,Hinkal在隐私协议领域中排名垫底。该协议在遭黑客攻击前一天刚刚宣布与钱包基础设施供应商Turnkey达成合作,但截至发稿时尚未对此次攻击事件做出公开回应。
本文仅供信息参考,不构成投资建议。