Случается, что протоколы, обещающие полную скрытность, сами попадают в центр скандала, и тут уже не до анонимности. Именно это произошло с Hinkal — сервисом, который позиционировал себя как элитный инструмент для крупных игроков, желающих прятать свои стейблкоиновые следы.
Третьего июля специалисты CertiK заметили неладное, так как некий внешний кошелек с говорящим адресом 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20 совершил несколько вызовов «Transact». А затем он провернул фокус, известный как «депозит без доказательства», чтобы вскрыть хранилище и увести почти восемьсот двадцать тысяч USDC. По иронии, протокол, призванный защищать транзакции от посторонних глаз, не сумел защититься от собственной дыры в коде.
Куда утекают деньги, если их не видно
Хакер явно готовился к неуместному вниманию к своей персоне. Сразу после кражи он конвертировал похищенные USD Coin в Ethereum, чтобы замести следы, а затем рассовал добычу, ипользуя проверенные схемы. Основная часть, а именно четыреста десять ETH на семьсот тысяч долларов, отправилась в знаменитый миксер Tornado Cash, который, несмотря на санкции США и прочие жизненные неурядицы, продолжает служить надежным укрытием для желающих спрятать свою криптовалюту. Остаток — сорок четыре и шесть десятых Ethereum — был переброшен через децентрализованный мост Thorchain, где с легкостью был обменян на Bitcoin, осев на адресе, начинающемся с bc1qr2sf. Все это напоминает классический квест по отмыванию, и, судя по всему, злоумышленник неплохо проштудировал учебник по заметанию следов.
Размер имеет значение, особенно когда он маленький
Самое забавное, что Hinkal никогда не был гигантом. На момент атаки общая заблокированная стоимость в протоколе едва достигала восьмисот двадцати девяти тысяч долларов. То есть хакер увел практически все, что там лежало, оставив разработчиков с пустыми смарт-контрактами и чувством глубокого недоумения. Для протокола, который гордо работает на пяти блокчейнах — Ethereum, Arbitrum, Base, Polygon и OP Mainnet, — это не просто удар по репутации, а почти тотальный крах.
Особенно пикантно выглядит тот факт, что в мае Polygon интегрировал Hinkal для корпоративных клиентов, желая добавить им приватности, а за день до взлома сам Hinkal радостно объявил о партнерстве с провайдером кошельков Turnkey. Видимо, фортуна любит злую шутку: только выстроишь планы на конфиденциальность, как кто-то уже конфиденциально выносит твой капитал.
На фоне буйства хакеров
Инцидент с Hinkal — не единичная вспышка, а часть тревожной тенденции. В июне этого года криптомир пережил сорок крупных атак на мосты, DeFi-протоколы и смарт-контракты, в результате которых злоумышленники вывели около семидесяти пяти миллионов восьмисот тысяч долларов. Самым громким стал взлом платформы Humanity, но Hinkal со своим скромным TVL, увы, тоже попал в эту печальную статистику. При этом создатели протокола привлекли в свое время пять с половиной миллионов от таких монстров, как Draper Associates, Quantstamp и NGC Ventures, — видимо, инвесторы рассчитывали на более надежную защиту, чем «депозит без доказательства».
Официального комментария от команды Hinkal пока нет, и можно только гадать, будут ли они восстанавливать протокол или признают свое поражение. А пока украденные средства уже смешались с тенями Tornado Cash и биткоин-адресами, оставляя следствие лишь с красивым цифровым следом. Такая вот конфиденциальность по-взрослому: все видят, что ты спрятал, но никто не знает, куда именно. Сколько стоит жить там, где есть работа для айтишника Российскому ИТ дали рынок, но кто знает его бренды? Нео-облака отвоюют у традиционных провайдеров 20% облачного рынка для ИИ
Источник: www.it-world.ru