重要なポイント:
- 攻撃者は、証明書不要の預金エクスプロイトを利用して、Hinkalから約83万USDCを流出させた。
- 盗まれた資金はTornado Cashを通じて洗浄され、ビットコインにブリッジされた。
- このエクスプロイトにより、Hinkalの預かり資産総額である82万9000ドルのほぼ全額が消失した。
重要なポイント:

攻撃者は7月3日、オンチェーンプライバシープロトコルであるHinkalから約83万USDCを盗み出し、証明書不要の預金エクスプロイトを用いてプロトコルのスマートコントラクトから資金を流出させた。
「当社は@hinkal_protocolに関わる不審な取引を検知した」と、ブロックチェーンセキュリティ企業のCertiKがX上で警告を発した。「当該EOAは、'Proofless Deposit'(証明書不要預金)に続き、複数の'Transact'トランザクションを実行し、Hinkalのコントラクトから約80万USDCを流出させた。」
攻撃者は盗んだUSDCをイーサリアムに変換し、制裁対象である暗号資産ミキサーのTornado Cashに410ETH(約70万ドル)を預け入れ、さらにThorchainを通じて44.67ETHをビットコインにブリッジしたと、PeckShieldおよびオンチェーン調査企業Specterは報告している。資金は最終的に「bc1qr2sf」で始まるビットコインアドレスに到着した。
このエクスプロイトにより、Hinkalのイーサリアム、Arbitrum、Base、Polygon、OP Mainnetの5つのブロックチェーンにわたる預かり資産総額(TVL)82万9000ドルのほぼ全額が消失し、ユーザーは実質的に回収可能な預金を失った。Draper Associates、Quantstamp、NGC Venturesから550万ドルを調達したHinkalは、オンチェーン取引のための機関グレードのプライバシーレイヤーとして自社を位置づけ、ユーザーがスワップや送金のためのシールドアドレスを作成できるようにしていた。
Tornado Cashとクロスチェーンブリッジを用いて盗まれた資金を洗浄するこの手法は、過去1年間に観察された他のDeFiエクスプロイトのパターンと一致している。ACM Web Conference 2026で発表された研究論文によれば、制裁対象の暗号資産ミキサーは、規制圧力の高まりにもかかわらず、洗浄された資金に対して匿名性を提供し続けている。またCertiKは、米国の制裁が課されて以降のTornado Cashの利用の変遷を記録しており、犯罪者とプライバシー重視のユーザーの双方が同じインフラに依存していることで、法執行機関の取り組みが複雑化していると指摘している。
DefiLlamaによれば、預かり資産総額で見たHinkalの主要競合には、Tornado Cash(4億4000万ドル)、Railgun(7750万ドル)、Privacy Pools(780万ドル)が含まれる。エクスプロイト前のTVLが82万9000ドルであったHinkalは、プライバシープロトコル分野で最下位近くに位置していた。同プロトコルはハッキングの前日、ウォレットインフラプロバイダーのTurnkeyとの提携を発表していたが、本稿執筆時点で同エクスプロイトに対する公式なコメントは発表していない。
本記事は情報提供のみを目的としており、投資助言を構成するものではない。