ULTIME NOTIZIE
SELEZIONATO PER TE

Il protocollo di privacy Hinkal è stato sfruttato per un furto di 820.000 dollari, con un hacker che ha dirottato i fondi rubati attraverso Tornado Cash

DiMicah AbiodunMicah Abiodun
3 minuti di lettura
  • Il 3 luglio 2026, un hacker ha sfruttato una vulnerabilità di Hinkal, un protocollo DeFi sulla privacy, sottraendo circa 820.000 dollari in USDC e prosciugando quasi tutto il valore totale bloccato del protocollo.
  • I fondi rubati sono stati convertiti in ETH e riciclati tramite Tornado Cash e Thorchain.
  • L'dent solleva nuove preoccupazioni in merito alla sicurezza degli smarttracnel DeFi incentrato sulla privacy, in un momento in cui il settore si trova ad affrontare sia ostacoli normativi che un persistente rischio di sfruttamento delle vulnerabilità.

Il 3 luglio 2026, alcuni hacker hanno rubato circa 830.000 dollari in USDC da Hinkal, un protocollo di privacy on-chain, e hanno utilizzato servizi di mixing e bridging per trasferire la criptovaluta rubata nel giro di poche ore dall'attacco.

La violazione aggrava un periodo già difficile per DeFi . Secondo i dati di DeFiLlama, al momento dell'attacco Hinkal aveva bloccato un valore totale di soli 829.000 dollari (TVL) su cinque blockchain, quindi quasi tutti gli asset di proprietà del protocollo sono stati sottratti.

L'attaccante prosciuga Hinkal sfruttando una falla nel deposito a prova di errore

L'attacco è stato segnalato dalla società di sicurezza blockchain CertiK. È emerso che l'hacker stava utilizzando un account di proprietà esterna, con indirizzo 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, ed eseguendo una serie di chiamate "Transact" dopo aver effettuato quello che CertiK ha definito un "deposito senza prova" su uno degli smart contract di HinkaltracCertiK ha riferito su X che l'hacker è riuscito a sottrarre oltre 800.000 dollari da Hinkal.

Abbiamo rilevato transazioni sospette che coinvolgono @hinkal_protocol. L'EOA 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20 ha effettuato diverse transazioni "Transact" a seguito di un "Deposito senza prova" per svuotare untracHinkal di circa 800.000 USDC. Rimanete vigili!

PeckShield ha dichiarato che l'ammontare effettivo di criptovaluta persa da Hinkal si aggira intorno agli 820.000 dollari, secondo un'analisi condotta da Specter, una società di analisi on-chain.

L'hacker si è mosso rapidamente per nascondere l'attività criminale. L'analisi successiva di CertiK ha dimostrato che l'hacker è riuscito a convertire gli USDC rubati in Ethereum (ETH).

Secondo PeckShield, l'hacker ha depositato 410 ETH (circa 700.000 dollari) su Tornado Cash, il noto Ethereum ora sanzionato dal governo statunitense, e 44,67 ETH sono stati trasferiti dalla Ethereum alla Bitcoin tramite Thorchain, terminando a un Bitcoin che iniziava con bc1qr2sf indirizzo.

L'utilizzo di Tornado Cash e di bridge cross-chain per convertire USDC in Bitcoin rappresenta uno schema di riciclaggio di denaro già osservato dalle organizzazioni antifrode durante altri attacchi hacker a sistemi di monetizzazione DeFi avvenuti nel corso dell'ultimo anno.

Un articolo di ricerca pubblicato in occasione dell'ACM Web Conference 2026 ha dimostrato che le piattaforme di mixing di criptovalute autorizzate continuano a garantire l'anonimato dei fondi riciclati, nonostante le crescenti pressioni da parte delle autorità di regolamentazione governative affinché cessino tale pratica.

CertiK ha inoltre affermato che l'utilizzo di Tornado Cash è cambiato da quando il governo statunitense ha imposto le sanzioni. Tuttavia, il protocollo continua a essere utilizzato da hacker e criminali nello stesso modo in cui lo utilizzano i cittadini onesti che tengono alla propria privacy, rendendo difficile per le forze dell'ordine e le organizzazioni antiriciclaggio identificaredentattività criminali che si svolgono all'interno di infrastrutture decentralizzate per la tutela della privacy.

Cosa fa Hinkal

Hinkal si è affermato come un livello di privacy di livello istituzionale per le transazioni on-chain. Il protocollo consente agli utenti di creare indirizzi protetti ed eseguire scambi, trasferimenti e pagamenti senza rivelare i dettagli del saldo del portafoglio o con chi stanno effettuando le transazioni, su una blockchain pubblica. Il protocollo funziona su Ethereum, Arbitrum, Base, Polygon e OP Mainnet.

Secondo DefiLlama, il protocollo ha raccolto 5,5 milioni di dollari attraverso round di finanziamento seed e strategici dai seguenti investitori: Draper Associates, Quantstamp e NGC Ventures. Il giorno prima dell'attacco hacker, Hinkal aveva annunciato di aver stretto una partnership con Turnkey, un fornitore di infrastrutture per wallet, per offrire agli utenti di Turnkey funzionalità per la privacy.

L'exploit elimina quasi tutta la TVL di Hinkal

Rispetto ad altri attacchi di tipo DeFi di cui abbiamo sentito parlare, questo attacco ha comportato il furto di una somma di denaro relativamente modesta (820.000 dollari). Tuttavia, se rapportata al valore complessivo del protocollo (829.000 dollari), la perdita di una porzione così ingente del valore totale significa che gli utenti hanno di fatto perso i propri depositi.

Inoltre, questo tipo di attacco a un protocollo DeFi incentrato sulla privacy dei suoi utenti solleva seri interrogativi sulla sicurezza di tali DeFi in relazione all'implementazione di misure di sicurezza per i loro smarttracche elaborano transazionidentper i loro clienti.

Secondo DefiLlama, i concorrenti più vicini a Hinkal in termini di TVL (Total Value Locked) includono Tornado Cash (440 milioni di dollari), Railgun (77,5 milioni di dollari) e Privacy Pools (7,8 milioni di dollari). Prima dell'exploit, Hinkal si trovava quasi in fondo alla classifica dei protocolli per la privacy.

Al momento della pubblicazione, Hinkal non aveva ancora rilasciato alcuna dichiarazione pubblica in merito alla vulnerabilità sul suo account X ufficiale o sul suo sito web.

 

 

Le menti più brillanti del mondo delle criptovalute leggono già la nostra newsletter. Vuoi partecipare? Unisciti a loro.

Domande frequenti

Cos'è Hinkal e cosa è stato rubato?

Hinkal è un protocollo per la privacy che consente agli utenti di effettuare transazioni on-chaindentsu Ethereum e altre quattro reti. Il 3 luglio 2026, un hacker ha sottratto circa 820.000 dollari in USDC dai suoi smarttrac.

Come ha fatto l'attentatore a riciclare i fondi rubati?

Secondo CertiK e PeckShield, l'attaccante ha scambiato gli USDC rubati con ETH, ha depositato 410 ETH (circa 700.000 dollari) su Tornado Cashe ha trasferito altri 44,67 ETH da Ethereum a Bitcoin tramite Thorchain.

Quanti fondi di Hinkal sono stati interessati?

Secondo DefiLlama, al momento dell'attacco Hinkal deteneva circa 829.000 dollari di valore totale bloccato, il che significa che l'attacco ha prosciugato quasi l'intero patrimonio del protocollo.

Condividi questo articolo

Disclaimer. Le informazioni fornite non costituiscono consulenza di trading. Cryptopolitan/ non si assume alcuna responsabilità per gli investimenti effettuati sulla base delle informazioni fornite in questa pagina. Consigliamotronvivamente di effettuare ricerche indipendentident di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.

Micah Abiodun

Micah Abiodun

Micah Abiodun sfrutta al meglio la sua laurea magistrale in Ingegneria e Gestione Ambientale (MSc) conseguita presso l'Università di Tecnologia di Tallinn (TalTech) per perfezionare i contenuti e le notizie sulle previsioni di prezzo di Cryptopolitan. Giunto al suo settimo anno nel settore dei media crypto, si occupa delle principali criptovalute, altcoin, DeFi, stablecoin, macro tendenze e tecnologie emergenti

ALTRE NOTIZIE
CORSO INTENSIVO DI CRIPTOVALUTE