Des attaquants ont volé environ 830 000 USDC à Hinkal, un protocole de confidentialité on-chain, le 3 juillet, en utilisant une exploitation de dépôt sans preuve pour drainer les contrats intelligents du protocole.
« Nous avons détecté des transactions suspectes impliquant @hinkal_protocol », a indiqué CertiK, une société de sécurité blockchain, dans une alerte sur X. « L'EOA a effectué plusieurs transactions 'Transact' à la suite d'un 'Dépôt sans preuve' pour drainer un contrat Hinkal d'environ 800 000 USDC. »
L'attaquant a converti les USDC volés en Ethereum, déposant 410 ETH (environ 700 000 $) dans Tornado Cash, le mixeur de crypto-monnaies sanctionné, et pontant 44,67 ETH vers Bitcoin via Thorchain, selon PeckShield et l'enquêteur on-chain Specter. Les fonds ont finalement atterri sur une adresse Bitcoin commençant par bc1qr2sf.
L'exploit a effacé presque la totalité des 829 000 $ de valeur totale verrouillée de Hinkal sur cinq blockchains — Ethereum, Arbitrum, Base, Polygon et OP Mainnet — ne laissant aux utilisateurs aucun dépôt à récupérer. Hinkal, qui a levé 5,5 millions de dollars auprès de Draper Associates, Quantstamp et NGC Ventures, s'était présenté comme une couche de confidentialité de qualité institutionnelle pour les transactions on-chain, permettant aux utilisateurs de créer des adresses protégées pour les échanges et les transferts.
L'utilisation de Tornado Cash et de ponts cross-chain pour blanchir les fonds volés suit un schéma observé dans d'autres exploits DeFi au cours de l'année écoulée. Un article de recherche publié à l'ACM Web Conference 2026 a montré que les mixeurs de crypto-monnaies sanctionnés continuent de fournir l'anonymat pour les fonds blanchis malgré une pression réglementaire accrue. CertiK a également documenté comment l'utilisation de Tornado Cash a évolué depuis l'imposition des sanctions américaines, notant que les criminels et les utilisateurs soucieux de leur vie privée s'appuient sur la même infrastructure, ce qui complique les efforts des forces de l'ordre.
Les concurrents les plus proches de Hinkal par valeur totale verrouillée incluent Tornado Cash avec 440 millions de dollars, Railgun avec 77,5 millions de dollars et Privacy Pools avec 7,8 millions de dollars, selon DefiLlama. Avec sa TVL pré-exploit de 829 000 $, Hinkal se classait près du bas du secteur des protocoles de confidentialité. Le protocole avait annoncé un partenariat avec le fournisseur d'infrastructure de portefeuille Turnkey la veille du piratage, mais n'avait pas publié de réponse publique à l'exploit au moment de la publication.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.