隐私协议HermesVault因关键漏洞被攻陷，永久关停

依托Algorand网络构建的隐私型去中心化协议HermesVault在遭遇严重安全事件后正式终止服务。攻击者利用取款流程中的密钥重置漏洞，非法提取约261,000枚ALGO代币，当时估值接近29,466美元。项目首席工程师Giulio Pizzini于社交平台确认事件真实性，并披露了漏洞的技术成因。

取款验证逻辑存在致命缺陷

据开发者披露，尽管核心零知识证明电路运行正常，但问题出在取款操作中用于密钥重置的防御机制设计不当。这一疏漏使得攻击者能够跳过必要的身份验证步骤，在无有效授权的情况下完成资金提取。

目前该漏洞已被修复，被盗资产中230,000枚ALGO已返还至项目控制地址。然而仍有30,000枚代币未能找回，团队已为受影响用户设立专项退款通道。

受损用户可申请全额赔偿

针对未追回的30,000枚ALGO损失，所有相关用户均有资格参与全额退款计划。申请者需通过加密方式验证其对受损钱包地址的合法所有权，并提交与交易相关的数字凭证作为佐证。虽然官方尚未设定明确截止时间，但建议用户尽早提交材料以保障权益。

隐私技术安全边界再受审视

此次事故揭示了隐私类DeFi协议在复杂系统集成中的潜在风险。即便零知识证明等核心技术经多轮审计，其配套脚本与业务逻辑仍可能成为攻击入口。这提示行业必须对整个协议栈实施端到端的安全评估，而非仅聚焦核心算法。

对于Algorand生态而言，知名隐私项目的终结或将引发关于匿名金融工具可持续性的深度讨论，特别是在全球监管趋严的大环境下。

事件复盘与后续影响

HermesVault因一次价值约29,000美元的漏洞攻击而彻底停摆，再次凸显去中心化金融环境中的持续性安全威胁。尽管团队快速响应并推动部分资产返还，但协议已无法恢复运营。受影响用户应立即通过官方渠道提交退款申请，以最大限度挽回损失。

常见问题解答

问题一：漏洞具体如何被利用？攻击者利用的是取款验证环节中密钥重置防御机制的逻辑缺陷，绕开了零知识验证流程，从而实现未经授权的资金提取。

问题二：当前被盗金额及追回情况如何？总计约261,000枚ALGO被窃，其中230,000枚已成功返还，剩余30,000枚尚在追查中。

问题三：如何申领未追回代币的补偿？用户须提供能证明其对受损地址拥有权的证据，并附上关联交易的加密凭证，方可获得全额退款。