В протоколе защиты конфиденциальности Hinkal были украдены 820 000 долларов, злоумышленник перенаправлял украденные средства через Tornado Cash

- 3 июля 2026 года злоумышленник использовал уязвимость в протоколе конфиденциальности DeFi Hinkal, завладев примерно 820 000 долларов США в USDC, что привело к изъятию почти всей заблокированной стоимости протокола.
- Украденные средства были конвертированы в ETH и отмыты через Tornado Cash и Thorchain.
- Этотdent вызывает новые опасения по поводу безопасности смарт-tracв ориентированных на конфиденциальность децентрализованных DeFi в то время, когда сектор сталкивается как с регуляторными препятствиями, так и с постоянным риском эксплуатации уязвимостей.
3 июля 2026 года злоумышленники украли около 830 000 USDC у Hinkal, протокола обеспечения конфиденциальности в блокчейне, и, используя сервисы смешивания и мостового соединения, переместили украденную криптовалюту в течение нескольких часов после взлома.
Взлом усугубил и без того сложную ситуацию для DeFi инфраструктуры конфиденциальности Согласно данным DeFiLlama, на момент атаки общая заблокированная стоимость (TVL) Hinkal на пяти блокчейнах составляла всего 829 000 долларов, поэтому почти все активы, принадлежащие протоколу, были удалены.
Злоумышленник выкачивает средства из Hinkal, используя уязвимость в системе беспрепятственного внесения депозитов
Атака была обнаружена компанией CertiK, специализирующейся на безопасности блокчейна. Было установлено, что хакер использовал внешний аккаунт с адресом 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20 и выполнял ряд вызовов «Transact» после совершения того, что CertiK назвала «бездоказательным депозитом» в один из смарт-контрактов HinkaltracCertiK сообщила на X , что хакеру удалось вывести из Hinkal более 800 000 долларов.
Мы обнаружили подозрительные транзакции с участием @hinkal_protocol. EOA 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20 совершил несколько транзакций типа «Transact» после «Proofless Deposit» с целью вывода средств изtracHinkal на сумму около 800 000 USDC. Будьте бдительны!
Компания PeckShield заявила , что, согласно анализу Specter, специалиста по анализу данных блокчейна, фактическая сумма криптовалюты, потерянной Hinkal, составила приблизительно 820 000 долларов.
Хакер быстро скрыл свою преступную деятельность. Последующий анализ CertiK показал, что хакеру удалось конвертировать украденные USDC в Ethereum (ETH).
Хакер внес 410 ETH (приблизительно 700 000 долларов) на Tornado Cash, известный Ethereum , который сейчас находится под санкциями правительства США, и 44,67 ETH были переведены из Ethereum в Bitcoin через Thorchain, завершившись на Bitcoin адресе, начинающемся с bc1qr2sf, согласно данным PeckShield.
Использование Tornado Cash и кроссчейн-мостов для конвертации USDC в Bitcoin — это схема отмывания денег, которую наблюдали организации по борьбе с мошенничеством во время других взломов систем монетизации DeFi , произошедших за последний год.
В исследовательской статье, опубликованной на конференции ACM Web Conference 2026, было показано, что санкционированные криптовалютные миксеры продолжают обеспечивать анонимность отмытых средств, несмотря на растущее давление со стороны государственных регуляторов с целью прекращения этой практики.
CertiK также заявила, что использование Tornado Cash изменилось после введения санкций правительством США. Однако протокол постоянно используется хакерами и преступниками так же, как и законопослушными гражданами, ценящими свою конфиденциальность, что затрудняет правоохранительным органам и организациям по борьбе с отмыванием денег выявлениеdentдеятельности, происходящей в децентрализованной инфраструктуре обеспечения конфиденциальности.
Чем занимается Хинкал
Hinkal позиционирует себя как уровень конфиденциальности институционального уровня для транзакций в блокчейне. Протокол позволяет пользователям создавать защищенные адреса и совершать обмены, переводы и платежи, не раскрывая информацию о балансе кошелька или о том, с кем они совершают сделки, в публичном блокчейне. Протокол работает на Ethereum, Arbitrum, Base, Polygon и OP Mainnet.
По словам DefiЛамы, протокол привлек 5,5 миллионов долларов в рамках посевного и стратегического раундов финансирования от следующих инвесторов: Draper Associates, Quantstamp и NGC Ventures. За день до взлома Hinkal объявил о партнерстве с Turnkey, поставщиком инфраструктуры для кошельков, чтобы предложить пользователям Turnkey функции обеспечения конфиденциальности.
Эксплойт практически полностью уничтожил TVL Хинкала
По сравнению с другими атаками на DeFi , о которых мы видели в новостях, в результате этой атаки была украдена относительно небольшая сумма средств (820 000 долларов). Однако, если сравнить эту сумму с общей стоимостью протокола (829 000 долларов), потеря такой значительной части общей стоимости протокола означает, что пользователи фактически потеряли свои депозиты.
Кроме того, подобная атака на протокол DeFi , направленная на защиту конфиденциальности пользователей, поднимает серьезные вопросы о том, насколько безопасны эти протоколы DeFi с точки зрения внедрения мер безопасности для своих смарт-trac, обрабатывающихdentтранзакции для своих клиентов.
По данным DefiLlama, ближайшими конкурентами Hinkal по показателю TVL являются Tornado Cash ($440 млн), Railgun ($77,5 млн) и Privacy Pools ($7,8 млн). До взлома Hinkal занимал одно из последних мест в рейтинге протоколов обеспечения конфиденциальности.
На момент публикации компания Hinkal не разместила публичного ответа на обнаруженную уязвимость ни в своем официальном аккаунте X, ни на своем веб-сайте.
Самые умные криптоаналитики уже читают нашу рассылку. Хотите присоединиться? Вступайте в их ряды.
Часто задаваемые вопросы
Что такое Хинкал и что было украдено?
Hinkal — это протокол обеспечения конфиденциальности, позволяющий пользователям совершатьdentтранзакции в блокчейне Ethereum и ещё четырёх сетях. 3 июля 2026 года злоумышленник вывел из смарт-tracоколо 820 000 долларов США в USDC.
Как злоумышленник отмывал украденные средства?
Согласно данным CertiK и PeckShield, злоумышленник обменял украденные USDC на ETH, внес 410 ETH (около 700 000 долларов) на Tornado Cashи перевел еще 44,67 ETH с Ethereum на Bitcoin через Thorchain.
Какая часть средств компании Hinkal пострадала?
По данным DefiLlama, на момент атаки Hinkal держал заблокированными активы на общую сумму приблизительно 829 000 долларов, что означает, что атака истощила почти всю базу активов протокола.
Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtronпровести независимоеdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.

Мика Абиодун
Мика Абиодун успешно использует свою степень магистра в области экологической инженерии и менеджмента, полученную в Таллиннском технологическом университете (TalTech), для совершенствования контента и прогнозирования цен на криптовалюты в Cryptopolitan. Находясь уже в седьмом году работы в криптомедийном пространстве, он освещает основные криптовалюты, альткоины, DeFi, стейблкоины, макротренды и новые технологии
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)
















