Hinkal İstismarı: Kanıtsız Bir Yatırmadan Tek Bir Bitcoin Adresine Kadar Zincirdeki 820 Bin Dolarlık Boşalmanın İzini Sürdük

— By Tony Rabbit in News

Hinkal İstismarı: Kanıtsız Bir Yatırmadan Tek Bir Bitcoin Adresine Kadar Zincirdeki 820 Bin Dolarlık Boşalmanın İzini Sürdük

Hinkal gizlilik protokolünde 3 Temmuz'da yaklaşık 820.000 dolar boşaltıldı. Fonların köprülendiği tek Bitcoin adresine kadar tüm saldırı ve aklama izini zincir üzerinde yeniden inşa ettik.

3 Temmuz 2026'da saldırganlar, zincir içi işlemlere yönelik sıfır bilgi gizlilik protokolü olan Hinkal'ı yaklaşık 820.000 $ değerinde, neredeyse tüm değeri kilitlendi. Güvenlik firmaları CertiK ve PeckShield bir saat içinde durumu işaretledi ve telgraf raporları her zamanki gibi kısaltılmış ayrıntılarla durduruldu. İşlemleri doğrudan Ethereum'dan aldık ve ilk şüpheli sözleşme çağrısından paranın köprülendiği tam Bitcoin adresine kadar her şeyi yeniden yapılandırdık. İşte zincir üstü iz.

~820 bin dolar
boşaltıldı (yaklaşık 800.000 USDC)
22+
zincirde saydığımız aynı 25.000 USDC para çekme işlemi
410 ETH
14 depozitoyla Tornado Cash'e gönderildi
1 BTC
THORChain aracılığıyla köprülenen geri kalanı adresleyin

Bir bakışta olay

  • Protokol: Hinkal, korumalı stablecoin transferleri için zkSNARK tabanlı bir gizlilik katmanı, çok zincirli ancak Ethereum'da tüketiliyor.
  • Ne zaman: 3 Temmuz 2026, Ethereum blokları 25448306 ila 25448683 arasında.
  • Nasıl: , CertiK tarafından "kanıtsız depozito", geçerli bir sıfır bilgi kanıtı olmadan sözleşmenin kabul ettiği bir depozito ve ardından yazılı bir para çekme döngüsü olarak nitelendirilir.
  • Etki: Hinkal'ın toplam kilitli değeri yalnızca 829.000 $ civarındaydı; saldırı neredeyse tamamını aldı.
  • Aklama: çalınan USDC etere dönüştürüldü, ardından Tornado Cash ile THORChain köprüsü arasında Bitcoin'e bölündü.

Drenaj: tek sözleşmeye karşı komut dosyasıyla yazılmış bir döngü

Bu saldırıdaki her çekilme tek bir Hinkal sözleşmesine işaret eder, 0x25e5e82f5702a27c3466fe68f14abdbbadfca826, çoğu yayın organının yalnızca kısaltılmış biçimde yayınladığı. Saldırganın hesabından 0xbB3f...fc20, güvenlik uyarılarının tanımladığı modeli görebiliriz: o sözleşmeye yapılan bir dizi çağrı, ardından hızlı bir dizi aynı ödeme.

Makbuzları okuyarak, her biri sözleşmeden tam olarak 25.000 USDC'yi saldırgana aktaran, 25448345 ile 25448348 arasındaki Ethereum bloklarında bir dakikadan kısa sürede kümelenen en az 22 ayrı işlem saydık. Ödeme döngüsü başlamadan önceki kurulum ve araştırma aşamasıyla tutarlı olarak, hiçbir şey aktarmayan aynı sözleşmeye düzinelerce önceki çağrılardan önce gelirler. Tek tip 25.000 USDC boyutu ve makineli tüfek zamanlaması, sözleşmenin geçerli olduğuna inanılan bir pozisyonu boşaltan otomatik bir senaryonun imzasıdır. CertiK, giriş noktasını "kanıtsız depozito" olarak nitelendirdi; bu, korumalı bir protokolün gerektirdiği varsayılan sıfır bilgi kanıtı olmadan kabul edilen bir depozito anlamına geliyor, ancak bu yazının yazıldığı sırada hiçbir resmi Hinkal otopsi yayınlanmamıştı.

Paranın peşinde: Tornado Cash, ardından Bitcoin'e köprü

Burası zincir üstü izin spesifik hale geldiği ve kısaltılmış olarak bırakılan kablo kapsamına ayrıntı ekleyebileceğimiz yerdir. Saldırgan, çalınan USDC'yi yaklaşık 455 Ethereum'da birleştirdikten sonra, geliri iki aklama yoluna böldü; her ikisini de işlem işlem takip ettik.

AdımZincirin gösterdiği şey
Drenaj0x25e5...a826 sözleşmesinden saldırgana her biri tam olarak 25.000 USDC tutarında 22'den fazla işlem
DönüştürÇalınan USDC, yaklaşık 455 ETH'ye takas edildi
KarıştırTornado Cash yönlendiricisine toplam 410 ETH (10 ETH'den on biri, 100 ETH'den üçü) tutarında 14 para yatırma, 25448486 ila 25448510 blokları
Köprü44.6747 ETH, THORChain aracılığıyla tek işlemde gönderildi (0x14dd...c76deb), blok 25448683
ÇıkışYerel Bitcoin'e değiştirildi, hedef bc1qr2sfkehuqgr0sp87sp25uzw79242523l26zn3w

Üzerinde durulması gereken kısım Bitcoin adresi. Raporlama bunu kısalttı bc1qr2sf...zn3w çünkü işlemde normal bir transfer gibi tam dize yazdırılmıyor. İşlem giriş verilerinde kodlanmış bir talimat olan THORChain notunun içinde bulunur. Köprü işleminden gelen bu notun kodunun çözülmesi, takas talimatının tamamını verir, =:b:bc1qr2sfkehuqgr0sp87sp25uzw79242523l26zn3w, eteri tam olarak bu adresteki yerel Bitcoin'e yönlendirir. Bu tek kod çözme, kısaltılmış bir yer tutucuyu herkesin izleyebileceği somut bir zincir üstü uç noktaya dönüştürür.

Tornado Cash ayağı kasıtlı bir yapılanmadır: tek bir büyük transfer yerine, karıştırıcının havuzlarına on dört yuvarlak rakamlı para yatırma, bu haftanın da izini sürdüğümüz bir model Edel Finans istismarıaynı şekilde gelirlerini Tornado Cash aracılığıyla aktardı. 48 saat içinde aynı onaylı karıştırıcıya yönlendirilen iki DeFi kanalı, çalınan zincir içi fonların 2026 ortalarında nereye gittiğine dair kendi sinyalidir.

Neden gizlilik protokolü en yumuşak hedefti?

Söylemeye değer bir ironi var. Hinkal'ın konuşmasının tamamı gizlilik üzerine kurulu: Kullanıcıların faaliyetlerini ifşa etmeden işlem yapmalarına olanak tanıyan sıfır bilgi kanıtları. Başarısız olan şey kanıt doğrulama yolu olduğunda, protokolün temel özelliği saldırı yüzeyi haline gelir. "Kanıtsız para yatırma", korumalı bir sistemin karşılayamayacağı bir arıza modudur, çünkü kanıt, para yatırma ile havuz fonları arasında duran tek şeydir.

Tartı durumu daha da kötüleştirdi. Hinkal'ın elinde yaklaşık beş zincire yayılmış toplam değer kilitli yalnızca 829.000 dolar vardı, bu nedenle Ethereum dağıtımında çalışan tek bir istismar neredeyse her şeyi almak için yeterliydi. Proje, aralarında Draper Associates, Quantstamp ve NGC Ventures'ın da bulunduğu yatırımcılardan yaklaşık 5,5 milyon dolar topladı; bu da finansman ve denetimlerin akıllı sözleşme riskini ortadan kaldırmadığını hatırlatıyor. Aynı disiplin herhangi bir zincir içi pozisyon için de geçerlidir: fonlarla bir sözleşmeye güvenmeden önce, bir tokenın sözleşmesini taradığınız gibi gerçekte ne yaptığını doğrulayın. Token Güvenlik Kontrolü veya açıklayıcılarımızda manipülasyon tarzı saldırıların nasıl ortaya çıktığını inceleyin kehanet manipülasyonu ve flaş kredi istismarları.

Metodoloji ve sorumluluk reddi beyanı: olay bağlamı CertiK ve PeckShield uyarılarından ve Cryptopolitan, CryptoTimes ve diğerlerinin raporlarından alınmıştır. İşlem düzeyindeki ayrıntılar, istismar edilen sözleşme adresi, 25.000 USDC çekim sayısı, 410 ETH Tornado Cash depozitosu, THORChain köprü işlemi ve kodu çözülmüş Bitcoin hedef adresi, Ethereum ana ağından bağımsız olarak yeniden oluşturuldu (25448306 ila 25448683 arası bloklar). Kesin zararın kabaca 800.000 ila 830.000 dolar arasında olduğu bildiriliyor; yaklaşık 820.000$ kullanıyoruz. "Kanıtsız mevduat" karakterizasyonu CertiK'e aittir; Bu yazının yazıldığı sırada hiçbir resmi Hinkal otopsisi yayınlanmamıştı. Bu makale yalnızca bilgilendirme amaçlıdır ve finansal tavsiye değildir.