Atacantes robaron aproximadamente $830,000 en USDC de Hinkal, un protocolo de privacidad en cadena, el 3 de julio, utilizando una explotación de depósito sin prueba para drenar los contratos inteligentes del protocolo.
"Hemos detectado transacciones sospechosas que involucran a @hinkal_protocol", dijo CertiK, una firma de seguridad blockchain, en una alerta en X. "La EOA realizó múltiples transacciones 'Transact' tras un 'Depósito Sin Prueba' para drenar un contrato de Hinkal por aproximadamente $800,000 en USDC".
El atacante convirtió los USDC robados en Ethereum, depositando 410 ETH (aproximadamente $700,000) en Tornado Cash, el mezclador de criptomonedas sancionado, y puenteando 44.67 ETH a Bitcoin a través de Thorchain, según PeckShield y el investigador en cadena Specter. Los fondos finalmente llegaron a una dirección de Bitcoin que comienza con bc1qr2sf.
El exploit eliminó casi la totalidad de los $829,000 de valor total bloqueado de Hinkal en cinco blockchains — Ethereum, Arbitrum, Base, Polygon y OP Mainnet — dejando a los usuarios sin depósitos efectivos que recuperar. Hinkal, que recaudó $5.5 millones de Draper Associates, Quantstamp y NGC Ventures, se había presentado como una capa de privacidad de grado institucional para transacciones en cadena, permitiendo a los usuarios crear direcciones protegidas para intercambios y transferencias.
El uso de Tornado Cash y puentes entre cadenas para blanquear fondos robados sigue un patrón observado en otras explotaciones DeFi durante el último año. Un artículo de investigación publicado en la ACM Web Conference 2026 mostró que los mezcladores de criptomonedas sancionados continúan proporcionando anonimato para fondos blanqueados a pesar del aumento de la presión regulatoria. CertiK también ha documentado cómo el uso de Tornado Cash ha evolucionado desde que se impusieron las sanciones de EE. UU., señalando que tanto delincuentes como usuarios preocupados por la privacidad dependen de la misma infraestructura, lo que complica los esfuerzos de las fuerzas del orden.
Los competidores más cercanos de Hinkal por valor total bloqueado incluyen a Tornado Cash con $440 millones, Railgun con $77.5 millones y Privacy Pools con $7.8 millones, según DefiLlama. Con su TVL previo al exploit de $829,000, Hinkal se ubicaba cerca del fondo del sector de protocolos de privacidad. El protocolo había anunciado una asociación con el proveedor de infraestructura de billeteras Turnkey el día anterior al hackeo, pero no había publicado una respuesta pública al exploit hasta el momento de esta publicación.
Este artículo es solo con fines informativos y no constituye asesoramiento de inversión.