HermesVault因漏洞关闭：29,000美元损失引行业警醒

HermesVault因安全漏洞永久关停：29,000美元损失引发行业反思

依托Algorand链构建的隐私保护协议HermesVault已正式终止运营，起因是一次严重安全事件。攻击者利用系统漏洞窃取了约261,000枚ALGO代币，当时估值约为29,466美元。项目首席工程师Giulio Pizzini在社交媒体上确认了这一情况，并披露了漏洞的技术根源。

取款验证机制存在致命设计缺陷

据Pizzini披露，尽管核心的零知识证明电路未被破坏，但问题出在取款流程中的密钥重置防御逻辑上。该缺陷允许攻击者绕过必要的身份验证步骤，在无权操作的情况下完成资金提取。

目前该漏洞已被修复，且被盗资产中已有230,000枚ALGO成功返还至项目方账户。然而，仍有约30,000枚代币未能找回，相关用户将可通过官方渠道申请全额赔偿。

受损用户可申请全额退款

针对尚未追回的30,000枚ALGO，所有受影响的用户均有资格参与退款计划。申请人需提交所涉地址的所有权证明及相关的交易加密凭证以供核实。虽然官方未设定明确的申请截止时间，但建议用户尽早提交材料，以免影响后续处理。

隐私协议的安全边界再受审视

此次事件揭示了隐私类DeFi协议在架构设计上的深层挑战。即便零知识证明技术本身具备高可信度，其配套逻辑模块（如取款脚本）一旦出现疏漏，仍可能成为攻击入口。这提醒开发团队必须对每一个辅助组件进行严格的安全审计与压力测试。

对于Algorand生态系统而言，知名隐私协议的停摆或将引发关于去中心化匿名金融方案可持续性的广泛讨论，尤其是在全球监管环境趋严的背景下，如何平衡隐私与合规正面临前所未有的考验。

事件复盘：从漏洞爆发到协议终结

HermesVault因一次价值约29,000美元的攻击而被迫关闭，再次印证了去中心化金融领域持续存在的安全风险。尽管项目方迅速响应并推动资金返还，但最终仍无法避免协议永久终止的命运。受影响用户应尽快通过官方渠道提交退款申请，以维护自身权益。

常见问题解答

问题一：漏洞具体是什么？攻击者利用的是取款验证脚本中密钥重置环节的逻辑缺陷，而非零知识证明核心部分，从而实现了非授权资金提取。

问题二：当前被盗金额与追偿进展如何？总计约261,000枚ALGO遭窃，其中230,000枚已归还，剩余30,000枚仍在追查中。

问题三：如何申请未追回代币的退款？用户须提供所涉地址的控制权证明以及与交易相关的加密证据，经审核后可获得全额补偿。