
В пятницу, 3 июля, криптоиндустрия столкнулась с очередной порцией горькой иронии: протокол конфиденциальности Hinkal был полностью обчищен злоумышленниками. Атакующие вывели порядка 830 000 стейблкоинов USDC, что фактически обнулило общую заблокированную стоимость (TVL) проекта, которая едва достигала отметки в $829 000. Иными словами, хакеры просто выпотрошили казну сервиса, призванного скрывать финансовые операции, под чистую.
Форензик-аналитики из CertiK уже восстановили картину атаки. Выяснилось, что взломщики использовали внешний адрес 0xbB3f…fc20 и эксплуатируют уязвимость в смарт-контракте, связанную с механизмом «депозита без доказательства» (proofless deposit). Совершив серию специфических вызовов «Transact», они получили несанкционированный доступ к средствам.
Чтобы замести следы, киберпреступники немедленно приступили к классическому отмыванию, полагаясь на другие инструменты анонимизации. Похищенные USDC были оперативно конвертированы в эфир, после чего капитал разделился на два направления. Львиная доля — 410 ETH (около $700 000) — отправилась в «стиральную машину» Tornado Cash. Оставшиеся 44,67 ETH хакеры пустили через кросс-чейн шлюз Thorchain, конвертировав их в биткоины, которые в итоге осели на кошельке, начинающемся с bc1qr2sf.
Сам Hinkal позиционировал себя как надежный щит для корпоративного сектора, позволяющий бизнесу проводить транзакции без раскрытия балансов и контрагентов. Проект, получивший $5,5 млн посевных инвестиций от таких тяжеловесов, как Draper Associates, Quantstamp и NGC Ventures, был развернут в экосистемах Ethereum, Arbitrum, Base, Polygon и OP Mainnet. Более того, буквально в мае разработчики Polygon интегрировали Hinkal для обеспечения приватности корпоративных стейблкоин-операций.