Những kẻ tấn công đã đánh cắp khoảng 830.000 USDC từ Hinkal, một giao thức quyền riêng tư trên chuỗi, vào ngày 3 tháng 7, sử dụng một cuộc tấn công khai thác nạp tiền không cần chứng minh để rút cạn các hợp đồng thông minh của giao thức.
"Chúng tôi đã phát hiện các giao dịch đáng ngờ liên quan đến @hinkal_protocol," CertiK, một công ty bảo mật blockchain, cho biết trong một cảnh báo trên X. "EOA đã thực hiện nhiều giao dịch 'Transact' sau một 'Proofless Deposit' để rút khoảng 800.000 USDC khỏi một hợp đồng của Hinkal."
Kẻ tấn công đã chuyển đổi số USDC bị đánh cắp thành Ethereum, nạp 410 ETH (khoảng 700.000 USD) vào Tornado Cash, máy trộn tiền điện tử đã bị trừng phạt, và chuyển 44,67 ETH sang Bitcoin thông qua Thorchain, theo PeckShield và điều tra viên trên chuỗi Specter. Số tiền cuối cùng đã đến một địa chỉ Bitcoin bắt đầu bằng bc1qr2sf.
Vụ khai thác đã xóa sổ gần như toàn bộ 829.000 USD tổng giá trị bị khóa của Hinkal trên năm blockchain — Ethereum, Arbitrum, Base, Polygon và OP Mainnet — khiến người dùng hầu như không còn khoản tiền gửi nào để thu hồi. Hinkal, đã huy động được 5,5 triệu USD từ Draper Associates, Quantstamp và NGC Ventures, từng tự xây dựng thương hiệu như một lớp quyền riêng tư cấp tổ chức cho các giao dịch trên chuỗi, cho phép người dùng tạo các địa chỉ được che chắn cho các hoạt động hoán đổi và chuyển tiền.
Việc sử dụng Tornado Cash và các cầu nối xuyên chuỗi để rửa số tiền bị đánh cắp tiếp nối một mô hình đã được quan sát thấy trong các vụ khai thác DeFi khác trong năm qua. Một bài báo nghiên cứu được công bố tại Hội nghị Web ACM 2026 cho thấy các máy trộn tiền điện tử bị trừng phạt vẫn tiếp tục cung cấp tính ẩn danh cho các khoản tiền bị rửa bất chấp áp lực pháp lý gia tăng. CertiK cũng đã ghi nhận cách thức sử dụng Tornado Cash đã phát triển kể từ khi các lệnh trừng phạt của Mỹ được áp đặt, lưu ý rằng cả tội phạm và người dùng quan tâm đến quyền riêng tư đều dựa vào cùng một cơ sở hạ tầng, làm phức tạp thêm nỗ lực thực thi pháp luật.
Các đối thủ cạnh tranh gần nhất của Hinkal tính theo tổng giá trị bị khóa bao gồm Tornado Cash với 440 triệu USD, Railgun với 77,5 triệu USD và Privacy Pools với 7,8 triệu USD, theo DefiLlama. Với TVL trước khi bị khai thác là 829.000 USD, Hinkal xếp gần cuối lĩnh vực giao thức quyền riêng tư. Giao thức này đã công bố quan hệ đối tác với nhà cung cấp cơ sở hạ tầng ví Turnkey một ngày trước vụ hack nhưng chưa đưa ra phản hồi công khai về vụ khai thác tính đến thời điểm đăng bài.
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.