Hinkal-Exploit: Wir haben den Abfluss von 820.000 US-Dollar in der Kette verfolgt, von einer nachweislosen Einzahlung bis zu einer einzelnen Bitcoin-Adresse
— By Tony Rabbit in News

Dem Hinkal-Datenschutzprotokoll wurden am 3. Juli etwa 820.000 US-Dollar entzogen. Wir haben den gesamten Angriffs- und Geldwäschepfad in der Kette rekonstruiert, bis hin zur einzelnen Bitcoin-Adresse, an die die Gelder überwiesen wurden.
Am 3. Juli 2026 haben Angreifer Hinkal, ein Zero-Knowledge-Datenschutzprotokoll für abgeschirmte On-Chain-Transaktionen, im Wert von rund 820.000 US-Dollar entwendet und fast den gesamten Wert gesperrt. Die Sicherheitsfirmen CertiK und PeckShield haben es innerhalb einer Stunde gemeldet, und die Nachrichtenberichte blieben bei den üblichen gekürzten Details stehen. Wir haben die Transaktionen direkt aus Ethereum abgerufen und das Ganze rekonstruiert, vom ersten verdächtigen Vertragsaufruf bis zur genauen Bitcoin-Adresse, an die das Geld überwiesen wurde. Hier ist der On-Chain-Trace.
Der Vorfall auf einen Blick
- Protokoll: Hinkal, eine zkSNARK-basierte Datenschutzschicht für geschützte Stablecoin-Transfers, mehrkettig, aber auf Ethereum entleert.
- Wann: 3. Juli 2026, über die Ethereum-Blöcke 25448306 bis 25448683.
- Wie: wird von CertiK als „beweislose Einzahlung“ bezeichnet, eine Einzahlung, die der Vertrag ohne einen gültigen Zero-Knowledge-Nachweis akzeptiert, gefolgt von einer Skriptschleife von Auszahlungen.
- Auswirkung: Hinkal hielt nur einen Gesamtwert von etwa 829.000 US-Dollar fest; Der Angriff nahm fast alles davon weg.
- Geldwäsche: hat USDC gestohlen, in Ether umgewandelt und dann zwischen Tornado Cash und einer THORChain-Brücke zu Bitcoin aufgeteilt.
Der Abfluss: eine Skriptschleife für einen Vertrag
Jeder Rückzug bei diesem Angriff deutet auf einen einzelnen Hinkal-Vertrag hin, 0x25e5e82f5702a27c3466fe68f14abdbbadfca826, das die meisten Medien nur in gekürzter Form veröffentlichten. Vom Angreiferkonto 0xbB3f...fc20können wir das in den Sicherheitswarnungen beschriebene Muster erkennen: eine Reihe von Aufrufen dieses Vertrags, dann eine schnelle Reihe identischer Auszahlungen.
Als wir die Belege lasen, zählten wir mindestens 22 separate Transaktionen, die jeweils in deutlich weniger als einer Minute genau 25.000 USDC aus dem Vertrag an den Angreifer transferierten, gebündelt in den Ethereum-Blöcken 25448345 bis 25448348. Ihnen gehen Dutzende früherer Aufrufe desselben Vertrags voraus, bei denen nichts übertragen wurde, was mit einer Einrichtungs- und Sondierungsphase vor Beginn der Auszahlungsschleife vereinbar ist. Die einheitliche Größe von 25.000 USDC und das Maschinengewehr-Timing sind die Signatur eines automatisierten Skripts, das eine Position auflöst, von der der Vertrag glaubte, sie sei gültig. CertiK bezeichnete den Einstiegspunkt als „beweislose Hinterlegung“, d. h. eine Hinterlegung, die ohne den wissensfreien Beweis akzeptiert wird, den ein geschütztes Protokoll eigentlich erfordern sollte, obwohl zum Zeitpunkt des Verfassens dieses Artikels noch keine formelle Obduktion von Hinkal veröffentlicht worden war.
Dem Geld folgen: Tornado Cash, dann eine Brücke zu Bitcoin
Hier wird der On-Chain-Trail konkreter und wir können Details zur abgeschnittenen Kabelabdeckung hinzufügen. Nachdem der Angreifer die gestohlenen USDC in etwa 455 Ether konsolidiert hatte, teilte er den Erlös in zwei Geldwäscherouten auf, die wir beide Transaktion für Transaktion verfolgten.
Die Bitcoin-Adresse ist der Teil, bei dem es sich zu verweilen lohnt. In der Berichterstellung wurde es gekürzt bc1qr2sf...zn3w , da die vollständige Zeichenfolge nicht wie bei einer normalen Überweisung in der Transaktion gedruckt wird. Es befindet sich im THORChain-Memo, einer in den Transaktionseingabedaten kodierten Anweisung. Die Dekodierung dieses Memos aus der Bridge-Transaktion ergibt die vollständige Swap-Anweisung. =:b:bc1qr2sfkehuqgr0sp87sp25uzw79242523l26zn3w, das den Ether an genau diese Adresse an natives Bitcoin weiterleitet. Diese einzelne Dekodierung verwandelt einen abgeschnittenen Platzhalter in einen konkreten Endpunkt in der Kette, den jeder sehen kann.
Der Tornado-Cash-Teil ist eine bewusste Strukturierung: vierzehn Einzahlungen mit runden Zahlen in die Pools des Mixers statt einer großen Überweisung, ein Muster, das wir auch in dieser Woche verfolgt haben Edel Finance-Exploit, das seine Erlöse ebenfalls über Tornado Cash weiterleitete. Zwei DeFi-Abflüsse, die innerhalb von 48 Stunden in denselben sanktionierten Mixer geleitet werden, sind ein eigenes Signal dafür, wohin gestohlene On-Chain-Gelder Mitte 2026 fließen.
Warum ein Datenschutzprotokoll das sanfteste Ziel war
Es gibt eine Ironie, die es wert ist, erwähnt zu werden. Hinkals gesamtes Anliegen ist der Datenschutz: wissensfreie Beweise, die es Benutzern ermöglichen, Transaktionen durchzuführen, ohne ihre Aktivitäten preiszugeben. Wenn der Proof-Verification-Pfad fehlschlägt, wird die Kernfunktion des Protokolls zur Angriffsfläche. Eine „sichere Einzahlung“ ist genau der Fehlermodus, den sich ein abgeschirmtes System nicht leisten kann, da der Nachweis das Einzige ist, was zwischen einer Einzahlung und den Mitteln des Pools steht.
Die Waage machte es noch schlimmer. Hinkal verfügte nur über einen Gesamtwert von etwa 829.000 US-Dollar, verteilt auf etwa fünf Ketten, sodass ein einziger funktionierender Exploit bei der Ethereum-Bereitstellung ausreichte, um fast alles zu stehlen. Das Projekt hatte rund 5,5 Millionen US-Dollar von Investoren wie Draper Associates, Quantstamp und NGC Ventures eingesammelt, was daran erinnert, dass Finanzierung und Prüfungen das Smart-Contract-Risiko nicht beseitigen. Die gleiche Disziplin gilt für jede Position in der Kette: Bevor Sie einem Vertrag Gelder anvertrauen, überprüfen Sie, was er tatsächlich tut, genauso wie Sie den Vertrag eines Tokens mit dem überprüfen würden Token-Sicherheitsprüfer oder erfahren Sie in unseren Erklärungen auf, wie sich Manipulationsangriffe abspielen Orakelmanipulation und Flash-Kredit-Exploits.
Methodik und Haftungsausschluss: Der Vorfallkontext wird aus CertiK- und PeckShield-Warnungen und Berichten von Cryptopolitan, CryptoTimes und anderen abgeleitet. Die Details auf Transaktionsebene, die ausgenutzte Vertragsadresse, die Anzahl der 25.000 USDC-Abhebungen, die 410 ETH Tornado Cash-Einzahlungen, die THORChain-Bridge-Transaktion und die vollständig entschlüsselte Bitcoin-Zieladresse wurden unabhängig vom Ethereum-Mainnet rekonstruiert (Blöcke 25448306 bis 25448683). Der genaue Verlust wird zwischen etwa 800.000 und 830.000 US-Dollar angegeben; Wir verbrauchen etwa 820.000 US-Dollar. Die Charakterisierung der „nachweislosen Hinterlegung“ stammt von CertiK; Zum Zeitpunkt des Schreibens war keine offizielle Obduktion von Hinkal veröffentlicht worden. Dieser Artikel dient nur der Information und stellt keine Finanzberatung dar.