Exploit Hinkal : nous avons retracé le drain de 820 000 $ sur la chaîne, d'un dépôt sans preuve à une seule adresse Bitcoin

— By Tony Rabbit in News

Exploit Hinkal : nous avons retracé le drain de 820 000 $ sur la chaîne, d'un dépôt sans preuve à une seule adresse Bitcoin

Le protocole de confidentialité Hinkal a été vidé d'environ 820 000 $ le 3 juillet. Nous avons reconstitué la piste complète d'attaque et de blanchiment sur la chaîne, jusqu'à l'adresse Bitcoin unique vers laquelle les fonds sont reliés.

Le 3 juillet 2026, des attaquants ont vidé Hinkal, un protocole de confidentialité sans connaissance pour les transactions protégées en chaîne, d'environ 820 000 $, dont la quasi-totalité de la valeur a été verrouillée. Les sociétés de sécurité CertiK et PeckShield l'ont signalé dans l'heure, et les rapports télégraphiques se sont arrêtés aux détails tronqués habituels. Nous avons extrait les transactions directement d’Ethereum et reconstruit le tout, depuis le premier appel de contrat suspect jusqu’à l’adresse Bitcoin exacte à laquelle l’argent a été transféré. Voici la trace en chaîne.

~820 000 $
drainé (environ 800 000 USDC)
22+
Retraits identiques de 25 000 USDC que nous avons comptés en chaîne
410 ETH
envoyé à Tornado Cash en 14 dépôts
1 BTC
adresse le reste via THORChain

L'incident en un coup d'œil

  • Protocole : Hinkal, une couche de confidentialité basée sur zkSNARK pour les transferts de stablecoins protégés, multi-chaînes mais drainés sur Ethereum.
  • Quand : 3 juillet 2026, sur les blocs Ethereum 25448306 à 25448683.
  • Comment : caractérisé par CertiK comme un « dépôt sans preuve », un dépôt le contrat accepté sans preuve valide de connaissance nulle, suivi d'une boucle scénarisée de retraits.
  • Impact : Hinkal ne détenait qu'environ 829 000 $ d'une valeur totale verrouillée ; l'attaque a pris presque tout.
  • Blanchiment : USDC volé converti en éther, puis divisé entre Tornado Cash et un pont THORChain vers Bitcoin.

The drain : une boucle scriptée contre un seul contrat

Chaque retrait dans cette attaque pointe vers un seul contrat Hinkal, 0x25e5e82f5702a27c3466fe68f14abdbbadfca826, que la plupart des médias ont publié uniquement sous forme tronquée. Depuis le compte de l'attaquant 0xbB3f...fc20, nous pouvons voir le schéma décrit par les alertes de sécurité : une rafale d'appels vers ce contrat, puis une série rapide de paiements identiques.

En lisant les reçus, nous avons compté au moins 22 transactions distinctes qui ont chacune fait sortir exactement 25 000 USDC du contrat vers l'attaquant, regroupées dans les blocs Ethereum 25448345 à 25448348 en bien moins d'une minute. Ils sont précédés de dizaines d’appels antérieurs au même contrat qui n’ont rien transféré, ce qui correspond à une phase de configuration et d’enquête avant le début de la boucle de paiement. La taille uniforme de 25 000 USDC et le timing de la mitrailleuse sont la signature d'un script automatisé drainant une position que le contrat croyait valide. CertiK a qualifié le point d'entrée de « dépôt sans preuve », c'est-à-dire un dépôt accepté sans la preuve de connaissance nulle qu'un protocole protégé est censé exiger, bien qu'aucune autopsie formelle de Hinkal n'ait été publiée au moment de la rédaction.

Suivre l'argent : Tornado Cash, puis un pont vers Bitcoin

C'est là que le sentier en chaîne devient spécifique et où nous pouvons ajouter des détails sur la couverture filaire laissée tronquée. Après avoir consolidé l'USDC volé en environ 455 éthers, l'attaquant a divisé le produit en deux routes de blanchiment, que nous avons toutes deux suivies transaction par transaction.

ÉtapeCe que montre la chaîne
VidangePlus de 22 transactions d'exactement 25 000 USDC chacune du contrat 0x25e5...a826 à l'attaquant
ConvertirUSDC volé échangé contre environ 455 ETH
Mélange14 dépôts sur le routeur Tornado Cash totalisant 410 ETH (onze sur 10 ETH, trois sur 100 ETH), blocs 25448486 à 25448510
Pont44,6747 ETH envoyés via THORChain en une seule transaction (0x14dd...c76deb), bloc 25448683
QuitterÉchangé en Bitcoin natif, destination bc1qr2sfkehuqgr0sp87sp25uzw79242523l26zn3w

L'adresse Bitcoin est la partie sur laquelle il convient de s'attarder. Le rapport l'a tronqué à bc1qr2sf...zn3w car la chaîne complète n'est pas imprimée dans la transaction comme un transfert normal. Il se trouve à l’intérieur du mémo THORChain, une instruction codée dans les données d’entrée de la transaction. Le décodage de ce mémo de la transaction relais donne l'instruction d'échange complète, =:b:bc1qr2sfkehuqgr0sp87sp25uzw79242523l26zn3w, qui achemine l'éther vers le Bitcoin natif à cette adresse exacte. Ce décodage unique transforme un espace réservé tronqué en un point de terminaison concret sur la chaîne que tout le monde peut regarder.

La branche Tornado Cash est une structuration délibérée : quatorze dépôts en nombre rond dans les pools du mélangeur plutôt qu'un seul transfert important, un modèle que nous avons également retracé dans le rapport de cette semaine. Exploit Edel Finance, qui a également canalisé ses bénéfices via Tornado Cash. Deux drains DeFi acheminés vers le même mélangeur sanctionné dans les 48 heures constituent son propre signal sur la destination des fonds volés en chaîne à la mi-2026.

Pourquoi un protocole de confidentialité était la cible la plus douce

Il y a une ironie qui mérite d'être évoquée. L'argumentaire de Hinkal est entièrement axé sur la confidentialité : des preuves sans connaissance qui permettent aux utilisateurs d'effectuer des transactions sans exposer leur activité. Lorsque le chemin de vérification de la preuve échoue, la fonctionnalité principale du protocole devient sa surface d'attaque. Un « dépôt sans preuve » est exactement le mode de défaillance qu'un système protégé ne peut pas se permettre, car la preuve est la seule chose qui sépare un dépôt et les fonds du pool.

L'échelle a aggravé la situation. Hinkal ne détenait qu'environ 829 000 $ d'une valeur totale bloquée répartie sur environ cinq chaînes, donc un seul exploit fonctionnel sur le déploiement d'Ethereum était suffisant pour prendre presque tout. Le projet a levé environ 5,5 millions de dollars auprès d'investisseurs tels que Draper Associates, Quantstamp et NGC Ventures, rappelant que le financement et les audits n'éliminent pas le risque lié aux contrats intelligents. La même discipline s'applique à toute position sur la chaîne : avant de faire confiance à un contrat avec des fonds, vérifiez ce qu'il fait réellement, de la même manière que vous examineriez le contrat d'un token avec le Vérificateur de sécurité des jetons ou étudiez comment les attaques de type manipulation se déroulent dans nos explications sur manipulation d'oracle et Exploits du prêt flash.

Méthodologie et clause de non-responsabilité : le contexte de l'incident est tiré des alertes CertiK et PeckShield et des rapports de Cryptopolitan, CryptoTimes et autres. Les détails au niveau de la transaction, l'adresse du contrat exploitée, le nombre de retraits de 25 000 USDC, les dépôts de 410 ETH Tornado Cash, la transaction du pont THORChain et l'adresse de destination Bitcoin entièrement décodée ont été reconstruits indépendamment du réseau principal Ethereum (blocs 25448306 à 25448683). La perte exacte est estimée entre environ 800 000 et 830 000 dollars ; nous utilisons environ 820 000 $. La qualification de « dépôt sans preuve » est celle de CertiK ; aucune autopsie officielle de Hinkal n’avait été publiée au moment de la rédaction de cet article. Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil financier.