Em 3 de julho de 2026, atacantes roubaram cerca de US$ 830.000 em USDC da Hinkal, um protocolo de privacidade on-chain, e usaram serviços de mistura e ponte para movimentar a criptomoeda roubada poucas horas após a exploração.
A violação agrava um momento já difícil para DeFi . De acordo com dados da DeFiLlama, o Hinkal tinha apenas US$ 829.000 em valor total bloqueado (TVL) em cinco blockchains no momento do ataque, o que significa que quase todos os ativos pertencentes ao protocolo foram removidos.
O ataque foi sinalizado pela empresa de segurança blockchain CertiK. Constatou-se que o hacker estava usando uma conta externa, com o endereço 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, e executando uma série de chamadas "Transact" após realizar o que a CertiK chamou de "depósito sem comprovação" em um dos contratos inteligentes da HinkaltracA CertiK relatou no X que o hacker conseguiu drenar mais de US$ 800.000 da Hinkal.
Detectamos transações suspeitas envolvendo o @hinkal_protocol. A conta EOA 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20 realizou múltiplas transações do tipo "Transação" após um "Depósito sem Comprovação" para drenar umtracHinkal de aproximadamente US$ 800 mil em USDC. Fiquem atentos!
A PeckShield afirmou que o valor real de criptomoeda perdido por Hinkal foi de aproximadamente US$ 820.000, com base em uma análise da Specter, uma empresa de investigação on-chain.
O hacker agiu rapidamente para ocultar a atividade criminosa. A análise subsequente da CertiK mostrou que o hacker conseguiu converter os USDC roubados em Ethereum (ETH).
O hacker depositou 410 ETH (aproximadamente US$ 700.000) no Tornado Cash, o conhecido Ethereum que agora está sob sanção do governo dos EUA, e 44,67 ETH foram transferidos da Ethereum blockchain Bitcoin através do Thorchain, terminando em um Bitcoin que começava com bc1qr2sf, de acordo com a PeckShield.
O uso do Tornado Cash e de pontes entre blockchains para converter USDC em Bitcoin é um padrão de lavagem de dinheiro que foi observado por organizações antifraude durante outros ataques de monetização DeFi ocorridos no último ano.
Um artigo de pesquisa publicado na ACM Web Conference 2026 demonstrou que os serviços de mistura de criptomoedas autorizados continuam a fornecer anonimato para fundos lavados, apesar da crescente pressão dos reguladores governamentais para que cessem essa prática.
A CertiK também afirmou em um relatório de pesquisa que o uso do Tornado Cash mudou desde que as sanções foram impostas pelo governo dos EUA. No entanto, o protocolo continua sendo usado por hackers e criminosos da mesma forma que indivíduos cumpridores da lei que valorizam sua privacidade, dificultando a identificação de atividades criminosas que ocorrem dentro da infraestrutura de privacidade descentralizada por parte das autoridades policiais e organizações de combate à lavagem dedent.
A Hinkal se posiciona como uma camada de privacidade de nível institucional para transações on-chain. O protocolo permite que os usuários criem endereços protegidos e executem swaps, transferências e pagamentos sem revelar detalhes do saldo da carteira ou com quem estão negociando, em uma blockchain pública. O protocolo funciona nas Ethereum, Arbitrum, Base, Polygon e OP Mainnet.
O protocolo arrecadou US$ 5,5 milhões em rodadas de financiamento seed e estratégico dos seguintes investidores: Draper Associates, Quantstamp e NGC Ventures, de acordo com o DefiLlama. A Hinkal anunciou, um dia antes do ataque hacker, que havia firmado uma parceria com a Turnkey, provedora de infraestrutura de carteiras digitais, para oferecer recursos de privacidade aos usuários da Turnkey.
Comparado a outros ataques do tipo DeFi que vimos nas notícias, este ataque resultou em um valor relativamente pequeno de fundos roubados (US$ 820.000). No entanto, quando comparado ao valor total do protocolo (US$ 829.000), a perda de uma parcela tão grande do valor total significa que os usuários essencialmente perderam seus depósitos.
Além disso, esse tipo de ataque a um protocolo DeFi focado na privacidade de seus usuários levanta sérias questões sobre a segurança DeFi protocolos no que diz respeito à implementação de medidas de segurança para seustracinteligentes que processam transaçõesdentpara seus clientes.
De acordo com DefiLlama, os concorrentes mais próximos do Hinkal em termos de TVL incluem o Tornado Cash (US$ 440 milhões), o Railgun (US$ 77,5 milhões) e o Privacy Pools (US$ 7,8 milhões). Em seu TVL pré-exploração, o Hinkal estava próximo ao final do ranking de protocolos de privacidade.
Até o momento da publicação desta notícia, a Hinkal não havia divulgado uma resposta pública à exploração da vulnerabilidade em sua conta oficial no X ou em seu site.
As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer participar? Junte-se a elas.