Hinkal İstismarı: Kanıtsız Bir Yatırmadan Tek Bir Bitcoin Adresine Kadar Zincirdeki 820 Bin Dolarlık Boşalmanın İzini Sürdük
— By Tony Rabbit in News

Hinkal gizlilik protokolünde 3 Temmuz'da yaklaşık 820.000 dolar boşaltıldı. Fonların köprülendiği tek Bitcoin adresine kadar tüm saldırı ve aklama izini zincir üzerinde yeniden inşa ettik.
3 Temmuz 2026'da saldırganlar, zincir içi işlemlere yönelik sıfır bilgi gizlilik protokolü olan Hinkal'ı yaklaşık 820.000 $ değerinde, neredeyse tüm değeri kilitlendi. Güvenlik firmaları CertiK ve PeckShield bir saat içinde durumu işaretledi ve telgraf raporları her zamanki gibi kısaltılmış ayrıntılarla durduruldu. İşlemleri doğrudan Ethereum'dan aldık ve ilk şüpheli sözleşme çağrısından paranın köprülendiği tam Bitcoin adresine kadar her şeyi yeniden yapılandırdık. İşte zincir üstü iz.
Bir bakışta olay
- Protokol: Hinkal, korumalı stablecoin transferleri için zkSNARK tabanlı bir gizlilik katmanı, çok zincirli ancak Ethereum'da tüketiliyor.
- Ne zaman: 3 Temmuz 2026, Ethereum blokları 25448306 ila 25448683 arasında.
- Nasıl: , CertiK tarafından "kanıtsız depozito", geçerli bir sıfır bilgi kanıtı olmadan sözleşmenin kabul ettiği bir depozito ve ardından yazılı bir para çekme döngüsü olarak nitelendirilir.
- Etki: Hinkal'ın toplam kilitli değeri yalnızca 829.000 $ civarındaydı; saldırı neredeyse tamamını aldı.
- Aklama: çalınan USDC etere dönüştürüldü, ardından Tornado Cash ile THORChain köprüsü arasında Bitcoin'e bölündü.
Drenaj: tek sözleşmeye karşı komut dosyasıyla yazılmış bir döngü
Bu saldırıdaki her çekilme tek bir Hinkal sözleşmesine işaret eder, 0x25e5e82f5702a27c3466fe68f14abdbbadfca826, çoğu yayın organının yalnızca kısaltılmış biçimde yayınladığı. Saldırganın hesabından 0xbB3f...fc20, güvenlik uyarılarının tanımladığı modeli görebiliriz: o sözleşmeye yapılan bir dizi çağrı, ardından hızlı bir dizi aynı ödeme.
Makbuzları okuyarak, her biri sözleşmeden tam olarak 25.000 USDC'yi saldırgana aktaran, 25448345 ile 25448348 arasındaki Ethereum bloklarında bir dakikadan kısa sürede kümelenen en az 22 ayrı işlem saydık. Ödeme döngüsü başlamadan önceki kurulum ve araştırma aşamasıyla tutarlı olarak, hiçbir şey aktarmayan aynı sözleşmeye düzinelerce önceki çağrılardan önce gelirler. Tek tip 25.000 USDC boyutu ve makineli tüfek zamanlaması, sözleşmenin geçerli olduğuna inanılan bir pozisyonu boşaltan otomatik bir senaryonun imzasıdır. CertiK, giriş noktasını "kanıtsız depozito" olarak nitelendirdi; bu, korumalı bir protokolün gerektirdiği varsayılan sıfır bilgi kanıtı olmadan kabul edilen bir depozito anlamına geliyor, ancak bu yazının yazıldığı sırada hiçbir resmi Hinkal otopsi yayınlanmamıştı.
Paranın peşinde: Tornado Cash, ardından Bitcoin'e köprü
Burası zincir üstü izin spesifik hale geldiği ve kısaltılmış olarak bırakılan kablo kapsamına ayrıntı ekleyebileceğimiz yerdir. Saldırgan, çalınan USDC'yi yaklaşık 455 Ethereum'da birleştirdikten sonra, geliri iki aklama yoluna böldü; her ikisini de işlem işlem takip ettik.
Üzerinde durulması gereken kısım Bitcoin adresi. Raporlama bunu kısalttı bc1qr2sf...zn3w çünkü işlemde normal bir transfer gibi tam dize yazdırılmıyor. İşlem giriş verilerinde kodlanmış bir talimat olan THORChain notunun içinde bulunur. Köprü işleminden gelen bu notun kodunun çözülmesi, takas talimatının tamamını verir, =:b:bc1qr2sfkehuqgr0sp87sp25uzw79242523l26zn3w, eteri tam olarak bu adresteki yerel Bitcoin'e yönlendirir. Bu tek kod çözme, kısaltılmış bir yer tutucuyu herkesin izleyebileceği somut bir zincir üstü uç noktaya dönüştürür.
Tornado Cash ayağı kasıtlı bir yapılanmadır: tek bir büyük transfer yerine, karıştırıcının havuzlarına on dört yuvarlak rakamlı para yatırma, bu haftanın da izini sürdüğümüz bir model Edel Finans istismarıaynı şekilde gelirlerini Tornado Cash aracılığıyla aktardı. 48 saat içinde aynı onaylı karıştırıcıya yönlendirilen iki DeFi kanalı, çalınan zincir içi fonların 2026 ortalarında nereye gittiğine dair kendi sinyalidir.
Neden gizlilik protokolü en yumuşak hedefti?
Söylemeye değer bir ironi var. Hinkal'ın konuşmasının tamamı gizlilik üzerine kurulu: Kullanıcıların faaliyetlerini ifşa etmeden işlem yapmalarına olanak tanıyan sıfır bilgi kanıtları. Başarısız olan şey kanıt doğrulama yolu olduğunda, protokolün temel özelliği saldırı yüzeyi haline gelir. "Kanıtsız para yatırma", korumalı bir sistemin karşılayamayacağı bir arıza modudur, çünkü kanıt, para yatırma ile havuz fonları arasında duran tek şeydir.
Tartı durumu daha da kötüleştirdi. Hinkal'ın elinde yaklaşık beş zincire yayılmış toplam değer kilitli yalnızca 829.000 dolar vardı, bu nedenle Ethereum dağıtımında çalışan tek bir istismar neredeyse her şeyi almak için yeterliydi. Proje, aralarında Draper Associates, Quantstamp ve NGC Ventures'ın da bulunduğu yatırımcılardan yaklaşık 5,5 milyon dolar topladı; bu da finansman ve denetimlerin akıllı sözleşme riskini ortadan kaldırmadığını hatırlatıyor. Aynı disiplin herhangi bir zincir içi pozisyon için de geçerlidir: fonlarla bir sözleşmeye güvenmeden önce, bir tokenın sözleşmesini taradığınız gibi gerçekte ne yaptığını doğrulayın. Token Güvenlik Kontrolü veya açıklayıcılarımızda manipülasyon tarzı saldırıların nasıl ortaya çıktığını inceleyin kehanet manipülasyonu ve flaş kredi istismarları.
Metodoloji ve sorumluluk reddi beyanı: olay bağlamı CertiK ve PeckShield uyarılarından ve Cryptopolitan, CryptoTimes ve diğerlerinin raporlarından alınmıştır. İşlem düzeyindeki ayrıntılar, istismar edilen sözleşme adresi, 25.000 USDC çekim sayısı, 410 ETH Tornado Cash depozitosu, THORChain köprü işlemi ve kodu çözülmüş Bitcoin hedef adresi, Ethereum ana ağından bağımsız olarak yeniden oluşturuldu (25448306 ila 25448683 arası bloklar). Kesin zararın kabaca 800.000 ila 830.000 dolar arasında olduğu bildiriliyor; yaklaşık 820.000$ kullanıyoruz. "Kanıtsız mevduat" karakterizasyonu CertiK'e aittir; Bu yazının yazıldığı sırada hiçbir resmi Hinkal otopsisi yayınlanmamıştı. Bu makale yalnızca bilgilendirme amaçlıdır ve finansal tavsiye değildir.