El 3 de julio de 2026, unos atacantes robaron aproximadamente 830.000 dólares en USDC de Hinkal, un protocolo de privacidad en cadena, y utilizaron servicios de mezcla y puenteo para transferir la criptomoneda robada a las pocas horas de la vulnerabilidad.
Esta brecha agrava la difícil situación que atraviesa DeFi . Según datos de DeFiLlama, Hinkal solo tenía un valor total bloqueado (TVL) de 829 000 dólares distribuidos en cinco cadenas de bloques en el momento del ataque, por lo que prácticamente todos los activos propiedad del protocolo fueron sustraídos.
El ataque fue detectado por la empresa de seguridad blockchain CertiK. Se descubrió que el hacker estaba utilizando una cuenta de propiedad externa, con la dirección 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, y que ejecutaba varias llamadas "Transact" tras realizar lo que CertiK denominó un "depósito sin comprobante" en uno de los contratos inteligentes de HinkaltracCertiK informó en X que el hacker logró sustraer más de 800.000 dólares de Hinkal.
Hemos detectado transacciones sospechosas que involucran a @hinkal_protocol. El EOA 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20 realizó múltiples transacciones "Transact" después de un "Depósito sin comprobante" para agotar untracde Hinkal de aproximadamente 800 000 USDC. ¡Manténgase alerta!
PeckShield afirmó que la cantidad real de criptomonedas perdidas por Hinkal fue de aproximadamente 820.000 dólares, según un análisis realizado por Specter, un investigador de la cadena de bloques.
El pirata informático actuó con rapidez para ocultar su actividad delictiva. El análisis posterior de CertiK demostró que el pirata informático logró convertir los USDC robados en Ethereum (ETH).
El hacker depositó 410 ETH (aproximadamente 700.000 dólares) en Tornado Cash, el conocido Ethereum que ahora está bajo sanciones del gobierno estadounidense, y 44,67 ETH fueron transferidos desde la Ethereum a la Bitcoin a través de Thorchain, terminando en una Bitcoin que comenzaba con bc1qr2sf, según PeckShield.
El uso de Tornado Cash y puentes entre cadenas para convertir USDC en Bitcoin es un patrón de lavado de dinero que ha sido observado por organizaciones antifraude durante otros ataques de monetización DeFi ocurridos durante el último año.
Un artículo de investigación publicado en la Conferencia Web de la ACM de 2026 demostró que los mezcladores de criptomonedas autorizados siguen proporcionando anonimato para los fondos blanqueados a pesar de la creciente presión de los reguladores gubernamentales para que dejen de hacerlo.
CertiK también ha declarado en un informe de investigación que el uso de Tornado Cash ha cambiado desde que el gobierno estadounidense impuso sanciones. Sin embargo, el protocolo sigue siendo utilizado por hackers y delincuentes, al igual que por personas respetuosas de la ley que valoran su privacidad, lo que dificulta a las fuerzas del orden y a las organizaciones contra el blanqueo de capitales la identificación dedentdelictivas dentro de la infraestructura de privacidad descentralizada.
Hinkal se ha posicionado como una capa de privacidad de nivel institucional para transacciones en cadena. El protocolo permite a los usuarios crear direcciones protegidas y ejecutar intercambios, transferencias y pagos sin revelar el saldo de su billetera ni con quién realizan las transacciones en una cadena de bloques pública. El protocolo funciona en Ethereum, Arbitrum, Base, Polygon y la red principal de OP.
Según DefiLlama, el protocolo recaudó 5,5 millones de dólares mediante rondas de financiación inicial y estratégica de los siguientes inversores: Draper Associates, Quantstamp y NGC Ventures. El día anterior al hackeo, Hinkal anunció una alianza con Turnkey, proveedor de infraestructura de monederos digitales, para ofrecer funciones de privacidad a los usuarios de Turnkey.
En comparación con otros ataques a plataformas DeFi que hemos visto en las noticias, este ataque resultó en el robo de una cantidad relativamente pequeña de fondos (820 000 dólares). Sin embargo, si se compara con el valor total del protocolo (829 000 dólares), la pérdida de una porción tan grande del valor total del protocolo significa que los usuarios prácticamente han perdido sus depósitos.
Además, este tipo de ataque a un protocolo DeFi centrado en la privacidad de sus usuarios plantea serias dudas sobre la seguridad de estos DeFi a la hora de implementar medidas de seguridad para sustracinteligentes que procesan transaccionesdentpara sus clientes.
Según DefiLlama, los competidores más cercanos de Hinkal en términos de TVL incluyen Tornado Cash (440 millones de dólares), Railgun (77,5 millones de dólares) y Privacy Pools (7,8 millones de dólares). Antes de su explotación, Hinkal se encontraba entre los últimos puestos del ranking de protocolos de privacidad.
Al momento de la publicación, Hinkal no había publicado ninguna respuesta pública sobre la vulnerabilidad en su cuenta oficial de X ni en su sitio web.
Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.