핵심 요약:
- 공격자가 무증명 예치 취약점을 이용해 Hinkal에서 약 83만 USDC를 탈취
- 도난 자금은 Tornado Cash를 통해 세탁되고 비트코인으로 브릿징됨
- 이번 익스플로잇으로 Hinkal의 총 예치 자산 82만 9천 달러가 거의 전액 소멸
핵심 요약:

공격자들이 7월 3일, 온체인 프라이버시 프로토콜 Hinkal로부터 약 83만 USDC를 무증명 예치(proofless deposit) 취약점을 이용해 프로토콜의 스마트 계약에서 탈취했다.
"Hinkal 프로토콜(@hinkal_protocol)과 관련된 의심스러운 거래를 감지했습니다," 블록체인 보안 업체 CertiK가 X를 통해 발표한 경고문에서 밝혔다. "해당 EOA는 '무증명 예치' 이후 여러 차례 'Transact' 트랜잭션을 수행해 Hinkal 컨트랙트에서 약 80만 USDC를 탈취했습니다."
공격자는 탈취한 USDC를 이더리움으로 전환한 후, 410 ETH(약 70만 달러)를 제재 대상 암호화폐 믹서인 Tornado Cash에 예치하고, 44.67 ETH를 Thorchain을 통해 비트코인으로 브릿징한 것으로 PeckShield와 온체인 조사기관 Specter가 확인했다. 해당 자금은 최종적으로 'bc1qr2sf'로 시작하는 비트코인 주소에 도달했다.
이번 익스플로잇으로 이더리움, 아비트럼, 베이스, 폴리곤, OP 메인넷 등 5개 블록체인에 걸쳐 있던 Hinkal의 총 예치 자산 82만 9천 달러가 거의 전액 소멸되어, 사용자들은 사실상 회수할 예치금이 없는 상태가 되었다. Draper Associates, Quantstamp, NGC Ventures로부터 550만 달러를 조달한 Hinkal은 온체인 거래를 위한 기관급 프라이버시 레이어로 자체를 브랜딩하며, 사용자들이 스왑 및 전송을 위한 차폐 주소를 생성할 수 있도록 해왔다.
Tornado Cash와 크로스체인 브릿지를 활용한 도난 자금 세탁 방식은 지난 1년간 다른 DeFi 익스플로잇에서 관찰된 패턴을 따른 것이다. ACM Web Conference 2026에 발표된 연구 논문에 따르면, 제재를 받은 암호화폐 믹서가 규제 압력에도 불구하고 세탁 자금에 대한 익명성을 계속 제공하고 있는 것으로 나타났다. CertiK는 또한 미국 제재 이후 Tornado Cash 사용이 어떻게 진화했는지를 문서화하며, 범죄자와 프라이버시를 중시하는 사용자 모두 동일한 인프라에 의존하고 있어 법 집행 노력을 복잡하게 만든다고 지적했다.
DefiLlama에 따르면, 총 예치 자산 기준 Hinkal의 주요 경쟁사로는 Tornado Cash(4억 4천만 달러), Railgun(7,750만 달러), Privacy Pools(780만 달러)가 있다. 익스플로잇 이전 TVL 82만 9천 달러로 Hinkal은 프라이버시 프로토콜 섹터 내에서 최하위권에 위치해 있었다. 해당 프로토콜은 해킹 발생 하루 전 지갑 인프라 제공업체 Turnkey와의 파트너십을 발표했으나, 기사 게재 시점까지 익스플로잇에 대한 공식 대응을 게시하지 않았다.
본 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.