Le protocole de confidentialité Hinkal a été exploité pour un montant de 820 000 $ : un pirate a acheminé les fonds volés via Tornado Cash

- Le 3 juillet 2026, un attaquant a exploité Hinkal, un protocole de confidentialité DeFi , pour dérober environ 820 000 $ en USDC, vidant ainsi la quasi-totalité de la valeur totale bloquée du protocole.
- Les fonds volés ont été convertis en ETH et blanchis via Tornado Cash et Thorchain.
- Cetdent soulève de nouvelles inquiétudes quant à la sécurité destracintelligents dans DeFi décentralisée axée sur la confidentialité, à un moment où le secteur est confronté à la fois à des obstacles réglementaires et à un risque d'exploitation persistant.
Le 3 juillet 2026, des attaquants ont volé environ 830 000 USDC à Hinkal, un protocole de confidentialité sur la chaîne, et ont utilisé des services de mixage et de pontage pour déplacer la cryptomonnaie volée quelques heures après l’exploitation.
Cette faille de sécurité aggrave une situation déjà difficile pour DeFi . Selon les données de DeFiLlama, Hinkal ne disposait que de 829 000 $ de valeur totale bloquée (TVL) sur cinq blockchains au moment de l'attaque ; la quasi-totalité des actifs détenus par le protocole a donc été dérobée.
Un attaquant vide Hinkal d'une mine grâce à une faille de dépôt non prouvée
L'attaque a été signalée par la société de sécurité blockchain CertiK. Il a été constaté que le pirate utilisait un compte externe, à l'adresse 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, et exécutait plusieurs requêtes « Transact » après avoir effectué ce que CertiK a qualifié de « dépôt sans preuve » sur l'un des contrats intelligents de HinkaltracCertiK a indiqué sur X que le pirate avait réussi à dérober plus de 800 000 $ à Hinkal.
Nous avons détecté des transactions suspectes impliquant @hinkal_protocol. L'EOA 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20 a effectué plusieurs transactions (« Transact ») suite à un « Dépôt sans preuve » afin de vider untracHinkal d'environ 800 000 USDC. Restez vigilants !
PeckShield a déclaré que le montant réel de cryptomonnaie perdu par Hinkal s'élevait à environ 820 000 $ selon une analyse de Specter, un enquêteur spécialisé dans la blockchain.
Le pirate a rapidement dissimulé son activité criminelle. L'analyse complémentaire de CertiK a révélé qu'il était parvenu à convertir les USDC volés en Ethereum (ETH).
Le pirate a déposé 410 ETH (environ 700 000 $) dans Tornado Cashbien connu Ethereum qui est maintenant sous sanctions du gouvernement américain, et 44,67 ETH ont été inversés de la Ethereum blockchain Bitcoin via Thorchain, pour aboutir à une Bitcoin qui commençait par bc1qr2sf, selon PeckShield.
L'utilisation de Tornado Cash et de ponts inter-chaînes pour convertir des USDC en Bitcoin est une pratique de blanchiment d'argent qui a été observée par les organismes de lutte contre la fraude lors d'autres piratages de monétisation DeFi survenus au cours de l'année écoulée.
Un article de recherche publié lors de la conférence ACM Web 2026 a démontré que les services de mixage de cryptomonnaies agréés continuent de garantir l'anonymat des fonds blanchis malgré la pression accrue des autorités de réglementation gouvernementales pour qu'ils cessent de le faire.
CertiK a également indiqué dans un rapport de recherche que l'utilisation de Tornado Cash a évolué depuis l'imposition de sanctions par le gouvernement américain. Cependant, le protocole continue d'être utilisé par des pirates informatiques et des criminels de la même manière que par des citoyens respectueux de la loi et soucieux de leur vie privée, ce qui complique la tâche des forces de l'ordre et des organismes de lutte contre le blanchiment d'argent pour identifierdentactivités criminelles se déroulant au sein de cette infrastructure décentralisée de protection de la vie privée.
Ce que fait Hinkal
Hinkal se positionne comme une couche de confidentialité de niveau institutionnel pour les transactions sur la blockchain. Son protocole permet aux utilisateurs de créer des adresses protégées et d'effectuer des échanges, des transferts et des paiements sans révéler le solde de leur portefeuille ni l'identité de leurs partenaires commerciaux, sur une blockchain publique. Ce protocole est compatible avec Ethereum, Arbitrum, Base, Polygon et OP Mainnet.
Le protocole a levé 5,5 millions de dollars lors de levées de fonds d'amorçage et stratégiques auprès des investisseurs suivants : Draper Associates, Quantstamp et NGC Ventures, selon DefiLlama. La veille du piratage, Hinkal avait annoncé un partenariat avec Turnkey, fournisseur d'infrastructure de portefeuilles numériques, afin d'offrir aux utilisateurs de Turnkey des fonctionnalités de confidentialité.
Exploit anéantit presque toute la TVL de Hinkal
Comparativement à d'autres attaques de type DeFi relayées par les médias, celle-ci n'a permis de dérober qu'un montant relativement faible (820 000 $). Toutefois, compte tenu de la valeur totale du protocole (829 000 $), la perte d'une telle part signifie que les utilisateurs ont, de fait, perdu leurs dépôts.
De plus, ce type d'attaque contre un protocole DeFi axé sur la confidentialité de ses utilisateurs soulève de sérieuses questions quant à la sécurité de ces protocoles DeFi lorsqu'il s'agit de mettre en œuvre des mesures de sécurité pour leurstracintelligents qui traitent des transactionsdentpour leurs clients.
D'après DefiLlama, les concurrents les plus proches de Hinkal en termes de TVL sont Tornado Cash (440 millions de dollars), Railgun (77,5 millions de dollars) et Privacy Pools (7,8 millions de dollars). Avant l'exploitation de la faille, Hinkal figurait parmi les derniers du classement des protocoles de confidentialité.
Au moment de la publication, Hinkal n'avait pas encore publié de réponse publique à cette faille de sécurité sur son compte X officiel ni sur son site web.
Les plus grands experts en cryptomonnaies lisent déjà notre newsletter. Envie d'en faire partie ? Rejoignez-les !
FAQ
Qu'est-ce que Hinkal et qu'est-ce qui a été volé ?
Hinkal est un protocole de confidentialité permettant aux utilisateurs d'effectuer des transactionsdentsur la blockchain Ethereum et quatre autres réseaux. Le 3 juillet 2026, un attaquant a dérobé environ 820 000 $ en USDC à sestracintelligents.
Comment l'attaquant a-t-il blanchi les fonds volés ?
L'attaquant a échangé les USDC volés contre de l'ETH, a déposé 410 ETH (environ 700 000 $) dans Tornado Cashet a transféré 44,67 ETH supplémentaires d' Ethereum vers Bitcoin via Thorchain, selon CertiK et PeckShield.
Quelle part des fonds de Hinkal a été affectée ?
Selon DefiLlama, Hinkal détenait environ 829 000 $ de valeur totale bloquée au moment de l'attaque, ce qui signifie que l'attaque a vidé la quasi-totalité des actifs du protocole.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.

Micah Abiodun
Micah Abiodun met à profit son master en ingénierie et gestion de l'environnement obtenu à l'Université de technologie de Tallinn (TalTech) pour peaufiner le contenu et les prévisions de prix chez Cryptopolitan. Fort de sept années d'expérience dans les médias spécialisés en cryptomonnaies, il couvre les principales cryptomonnaies, les altcoins, DeFi, les stablecoins, les tendances macroéconomiques et les technologies émergentes
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)
















