Ai总结： 基于Algorand的隐私协议HermesVault因取款验证逻辑缺陷遭攻击，导致26万枚ALGO被盗。项目方已修复漏洞并启动退款，但部分资金仍未追回，引发对隐私型DeFi安全性的广泛讨论。

隐私协议HermesVault因取款脚本漏洞永久停运

依托Algorand网络构建的隐私保护协议HermesVault在遭遇严重安全事件后正式终止服务。此次攻击致使约261,000枚ALGO代币被非法转移，按当时市价折合约为29,466美元。项目首席工程师Giulio Pizzini于社交平台确认事件真实性，并披露了漏洞的技术成因。

取款流程中的密钥重置机制存在致命缺陷

据开发者披露，尽管协议核心的零知识证明电路未受影响，但问题出在取款验证环节的密钥重置防护逻辑中。该设计疏漏使攻击者能够规避完整的身份验证链路，在无授权情况下直接提取账户资金。

目前该漏洞已被修补，团队已将其中230,000枚被盗代币返还至项目控制地址。剩余30,000枚代币仍处于无法追踪状态，但项目组已设立专项通道为受波及用户办理赔偿。

受损用户可申请全额补偿

针对尚存失窃金额的用户，官方提供全额退还资格。申请需提交所涉地址的所有权证明及与交易相关的加密凭证作为佐证材料。虽然未设定明确截止时间，但建议受影响者尽快完成提交以确保权益。

隐私技术实施中的系统性风险警示

本次事故揭示了即便采用高可信度的零知识证明架构，其外围组件的实现偏差仍可能成为安全突破口。尤其在去中心化金融场景下，任何辅助逻辑的疏忽都可能引发连锁失效，提醒开发团队必须对所有非核心模块执行同等强度的安全审计。

对于Algorand生态而言，知名隐私协议的终结或促使社区重新评估匿名性功能在监管趋严环境下的可持续性，尤其是在全球范围内加强对链上交易透明度要求的趋势下。

事件核心要点回顾

HermesVault因取款验证机制漏洞而被迫关停，虽已完成部分资金追回并启动赔付程序，但整体运营已不可逆地终止。当前重点在于协助受害者通过合规路径获取补偿，同时为行业积累关键安全经验。

常见疑问解答

问题一：漏洞根源何在？攻击者利用取款验证脚本中密钥重置防护逻辑的缺陷，绕过零知识验证流程，而非针对零知识证明本身。

问题二：资金追偿进展如何？总计261,000枚ALGO遭窃，已有230,000枚归还，余下30,000枚尚未找回。

问题三：如何申领未追回代币的赔偿？用户须提供所涉地址的归属证明及关联交易的加密证据，经审核后可获全额返还。