Explotación de Hinkal: rastreamos el drenaje de $820,000 en la cadena, desde un depósito sin pruebas hasta una única dirección de Bitcoin
— By Tony Rabbit in News

El protocolo de privacidad de Hinkal perdió aproximadamente $820,000 el 3 de julio. Reconstruimos el ataque completo y el rastro de lavado en la cadena, hasta la única dirección de Bitcoin a la que se conectaron los fondos.
El 3 de julio de 2026, los atacantes agotaron Hinkal, un protocolo de privacidad de conocimiento cero para transacciones protegidas en cadena, de aproximadamente $820,000, casi todo su valor bloqueado. Las firmas de seguridad CertiK y PeckShield lo alertaron al cabo de una hora, y los informes telegráficos se detuvieron en los habituales detalles truncados. Extrajimos las transacciones directamente de Ethereum y reconstruimos todo, desde la primera llamada de contrato sospechosa hasta la dirección exacta de Bitcoin a la que se interpuso el dinero. Aquí está el rastro en cadena.
El incidente de un vistazo
- Protocolo: Hinkal, una capa de privacidad basada en zkSNARK para transferencias de monedas estables protegidas, multicadena pero agotada en Ethereum.
- Cuándo: 3 de julio de 2026, en los bloques de Ethereum 25448306 a 25448683.
- Cómo: caracterizado por CertiK como un "depósito sin prueba", un depósito que el contrato aceptó sin una prueba válida de conocimiento cero, seguido de un ciclo programado de retiros.
- Impacto: Hinkal tenía solo alrededor de $829,000 en valor total bloqueado; el ataque se lo llevó casi todo.
- Lavado: USDC robado convertido a ether, luego dividido entre Tornado Cash y un puente THORChain a Bitcoin.
El drenaje: un bucle programado contra un contrato
Cada retiro en este ataque apunta a un solo contrato de Hinkal, 0x25e5e82f5702a27c3466fe68f14abdbbadfca826, que la mayoría de los medios publicaron solo en forma truncada. De la cuenta del atacante 0xbB3f...fc20, podemos ver el patrón que describen las alertas de seguridad: una ráfaga de llamadas a ese contrato, luego una serie rápida de pagos idénticos.
Al leer los recibos, contamos al menos 22 transacciones separadas, cada una de las cuales movió exactamente 25,000 USDC del contrato al atacante, agrupadas en los bloques de Ethereum 25448345 a 25448348 en mucho menos de un minuto. Están precedidos por docenas de llamadas anteriores al mismo contrato que no transfirieron nada, en consonancia con una fase de configuración y sondeo antes de que comenzara el ciclo de pagos. El tamaño uniforme de 25.000 USDC y la sincronización de la ametralladora son la firma de un guión automatizado que agota una posición que el contrato creía válida. CertiK caracterizó el punto de entrada como un "depósito sin pruebas", es decir, un depósito aceptado sin la prueba de conocimiento cero que se supone que requiere un protocolo blindado, aunque no se había publicado ninguna autopsia formal de Hinkal al momento de escribir este artículo.
Siguiendo el dinero: Tornado Cash, luego un puente hacia Bitcoin
Aquí es donde el rastro en la cadena se vuelve específico y donde podemos agregar detalles sobre la cobertura del cable que queda truncada. Después de consolidar el USDC robado en aproximadamente 455 ether, el atacante dividió las ganancias en dos rutas de lavado, las cuales seguimos transacción por transacción.
La dirección de Bitcoin es la parte en la que vale la pena detenerse. El informe lo truncó a bc1qr2sf...zn3w porque la cadena completa no se imprime en la transacción como una transferencia normal. Se encuentra dentro de la nota de THORChain, una instrucción codificada en los datos de entrada de la transacción. Decodificar esa nota de la transacción puente proporciona la instrucción de intercambio completa, =:b:bc1qr2sfkehuqgr0sp87sp25uzw79242523l26zn3w, que enruta el ether a Bitcoin nativo en esa dirección exacta. Esa única decodificación convierte un marcador de posición truncado en un punto final concreto en la cadena que cualquiera puede observar.
La parte de Tornado Cash es una estructuración deliberada: catorce depósitos de números redondos en los pools del mezclador en lugar de una transferencia grande, un patrón que también rastreamos en el informe de esta semana. Explotación de Edel Finance, que también canalizó sus ingresos a través de Tornado Cash. Dos drenajes de DeFi que se dirigen al mismo mezclador autorizado en 48 horas son su propia señal sobre adónde irán a parar los fondos robados en la cadena a mediados de 2026.
Por qué un protocolo de privacidad era el objetivo más fácil
Hay una ironía que vale la pena nombrar. Todo el argumento de Hinkal es la privacidad: pruebas de conocimiento cero que permiten a los usuarios realizar transacciones sin exponer su actividad. Cuando la ruta de verificación de prueba es lo que falla, la característica principal del protocolo se convierte en su superficie de ataque. Un "depósito sin prueba" es exactamente el modo de falla que un sistema blindado no puede permitirse, porque la prueba es lo único que se interpone entre un depósito y los fondos del fondo común.
La báscula lo empeoró. Hinkal tenía solo alrededor de $829,000 en valor total bloqueado distribuido en aproximadamente cinco cadenas, por lo que un solo exploit funcional en la implementación de Ethereum fue suficiente para tomar casi todo. El proyecto había recaudado alrededor de 5,5 millones de dólares de inversores como Draper Associates, Quantstamp y NGC Ventures, un recordatorio de que la financiación y las auditorías no eliminan el riesgo de los contratos inteligentes. La misma disciplina se aplica a cualquier posición en la cadena: antes de confiarle fondos a un contrato, verifique lo que realmente hace, de la misma manera que examinaría el contrato de un token con el Comprobador de seguridad de tokens o estudia cómo se desarrollan los ataques de estilo manipulación en nuestros explicadores en manipulación del oráculo y exploits de préstamos flash.
Metodología y descargo de responsabilidad: el contexto del incidente se extrae de las alertas de CertiK y PeckShield y de los informes de Cryptopolitan, CryptoTimes y otros. Los detalles a nivel de transacción, la dirección del contrato explotada, el recuento de 25.000 retiros de USDC, los 410 depósitos de ETH Tornado Cash, la transacción puente THORChain y la dirección de destino de Bitcoin completamente decodificada se reconstruyeron independientemente de la red principal de Ethereum (bloques 25448306 a 25448683). La pérdida exacta se informa entre aproximadamente 800.000 y 830.000 dólares; Usamos aproximadamente $820,000. La caracterización de "depósito sin prueba" es la de CertiK; Al momento de escribir este artículo no se había publicado ninguna autopsia oficial de Hinkal. Este artículo es sólo para información y no es un consejo financiero.