El protocolo de privacidad DeFi Hinkal fue atacado el 3 de julio mediante una vulnerabilidad de contrato inteligente, perdiendo aproximadamente 820 mil dólares en USDC. La empresa de seguridad blockchain CertiK detectó el ataque primero, señalando que el atacante utilizó una cuenta externa (EOA), realizó múltiples depósitos en el contrato inteligente de Hinkal tras ejecutar una operación de «sin prueba de depósito» y retiró USDC. Los fondos robados se convirtieron a Ethereum, y 410 ETH estuvieron involucrados en el lavado de dinero.
Según el informe de seguridad de CertiK en X, el atacante utilizó la dirección de cuenta externa (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, y tras ejecutar lo que CertiK denominó una operación de «sin prueba de depósito» (no proof of deposit), realizó una serie de operaciones de depósito en el contrato inteligente de Hinkal, extrayendo USDC sin necesidad de proporcionar una prueba de depósito válida.
La cantidad robada reportada por CertiK supera los 800 mil dólares; el análisis del investigador en cadena Specter (citado por PeckShield) muestra que la pérdida real de Hinkal es de aproximadamente 820 mil dólares.
Según análisis posteriores de CertiK y PeckShield, la ruta de transferencia de los fondos robados es la siguiente:
Intercambio USDC → ETH: Los USDC robados se convirtieron a Ethereum (ETH) en cuestión de horas tras el ataque
Tornado Cash: 410 ETH (aproximadamente 700 mil dólares) se depositaron en Tornado Cash, un mezclador de Ethereum sancionado por el gobierno de EE.UU.
Puente Thorchain: 44,67 ETH se transfirieron de la blockchain de Ethereum a la blockchain de Bitcoin a través de Thorchain
Dirección Bitcoin de destino: Los fondos llegaron finalmente a una dirección Bitcoin que comienza con bc1qr2sf
PeckShield señaló que este patrón de lavado de dinero, donde los USDC se convierten a Bitcoin a través de puentes entre cadenas, ha sido observado y registrado por agencias antifraude en múltiples ataques de hackers DeFi en el último año.
Según datos de DeFiLlama, el TVL de Hinkal en el momento del ataque era de solo 829 mil dólares, y esta pérdida de aproximadamente 820 mil dólares significa que casi todos los depósitos de los usuarios fueron robados. En comparación con competidores de protocolos de privacidad, el TVL de Tornado Cash era de 440 millones de dólares, Railgun de 77,5 millones de dólares y Privacy Pools de 7,8 millones de dólares. Hinkal estaba cerca del final en el ranking de protocolos de privacidad antes del ataque.
Según informes, Hinkal se posiciona como una capa de privacidad para transacciones en cadena de nivel institucional, permitiendo a los usuarios crear direcciones blindadas y realizar intercambios, transferencias y pagos en blockchains públicas sin revelar saldos de billeteras ni información de contrapartes. El protocolo está desplegado en Ethereum, Arbitrum, Base, Polygon y OP Mainnet. Hinkal recaudó 5,5 millones de dólares a través de rondas de semilla y financiación estratégica de Draper Associates, Quantstamp y NGC Ventures.
El día anterior al ataque, Hinkal anunció una asociación con el proveedor de infraestructura de billeteras Turnkey, planeando ofrecer funciones de privacidad a los usuarios de Turnkey. Al momento de la publicación, Hinkal no ha hecho una declaración pública sobre este ataque en su cuenta oficial de X ni en su sitio web.
Según el análisis de seguridad de CertiK, el atacante explotó la vulnerabilidad de «sin prueba de depósito» en el contrato inteligente de Hinkal, realizó múltiples operaciones de depósito sin proporcionar una prueba de depósito válida y extrajo aproximadamente 820 mil dólares en USDC. La cantidad robada equivale casi al TVL total del protocolo en cinco blockchains (829 mil dólares).
Según el análisis de CertiK y PeckShield, después de que los USDC robados se convirtieran a ETH, 410 ETH (aproximadamente 700 mil dólares) se depositaron en Tornado Cash; 44,67 ETH se transfirieron a la blockchain de Bitcoin a través de Thorchain, llegando a una dirección Bitcoin que comienza con bc1qr2sf.
Según informes, Hinkal es un protocolo de privacidad en cadena de nivel institucional, desplegado en Ethereum, Arbitrum, Base, Polygon y OP Mainnet, y recaudó 5,5 millones de dólares en financiamiento. Al momento de la publicación, Hinkal no ha hecho una declaración pública sobre este ataque en su cuenta oficial de X ni en su sitio web.
Noticias relacionadas
Standard Chartered: el mercado subestima gravemente el potencial de colaboración de Uniswap con las finanzas tradicionales, UNI sube un 13,3% en un día.
Ucrania incorpora por primera vez activos criptográficos incautados a la gestión estatal, transfiere 8,3 millones de USDT
Drift Protocol se renombra como Velocity DEX, plan de reinicio tras robo de 280 millones de dólares
Las pérdidas por hacks cripto cayeron a 75,9 millones de dólares en junio, el exploit de Humanity lidera.