Hinkal 악용: 증명되지 않은 입금부터 단일 비트코인 주소까지 82만 달러 규모의 온체인 유출을 추적했습니다.

— By Tony Rabbit in News

Hinkal 악용: 증명되지 않은 입금부터 단일 비트코인 주소까지 82만 달러 규모의 온체인 유출을 추적했습니다.

Hinkal 개인 정보 보호 프로토콜은 7월 3일에 약 $820,000가 소진되었습니다. 우리는 자금이 연결되는 단일 비트코인 주소까지 온체인 전체 공격 및 세탁 추적을 재구성했습니다.

2026년 7월 3일, 공격자들은 보호된 온체인 거래를 위한 영지식 개인 정보 보호 프로토콜인 Hinkal의 약 820,000달러를 유출했으며 거의 ​​전체 가치가 잠겨 있었습니다. 보안 회사인 CertiK와 PeckShield는 한 시간 내에 이를 신고했고 유선 보고서는 일반적으로 잘린 세부 정보에서 중단되었습니다. 우리는 이더리움에서 직접 거래를 가져와 첫 번째 의심스러운 계약 호출부터 돈이 연결되는 정확한 비트코인 ​​주소까지 모든 것을 재구성했습니다. 온체인 추적은 다음과 같습니다.

~$820K
소진됨(약 800,000 USDC)
22+
온체인에서 계산한 동일한 25,000 USDC 인출
410 ETH
14개 예금으로 Tornado Cash로 전송됨
1 BTC
THORChain을 통해 연결된 나머지 주소를 처리합니다.

사건 개요

  • 프로토콜: Hinkal은 보호된 스테이블 코인 전송을 위한 zkSNARK 기반 개인 정보 보호 계층으로 다중 체인이지만 이더리움에서 유출됩니다.
  • 언제: 2026년 7월 3일, Ethereum 블록 25448306에서 25448683까지.
  • 방법: CertiK는 "증명 없는 예금"으로 특징지어지며, 유효한 영지식 증명 없이 계약이 수락한 예금과 스크립트로 작성된 인출 루프가 이어집니다.
  • Impact: Hinkal은 총 가치가 약 $829,000에 불과했습니다. 공격은 거의 모든 것을 가져갔습니다.
  • 세탁: 도난당한 USDC를 이더로 변환한 다음 Tornado Cash와 THORChain 브리지에서 비트코인으로 분할합니다.

배수: 하나의 계약에 대한 스크립트 루프

이 공격의 모든 인출은 단일 Hinkal 계약을 의미하며, 0x25e5e82f5702a27c3466fe68f14abdbbadfca826, 대부분의 매장에서는 잘린 형식으로만 게시됩니다. 공격자 계정에서 0xbB3f...fc20, 우리는 보안 경고가 설명하는 패턴을 볼 수 있습니다. 해당 계약에 대한 호출이 폭주한 다음 동일한 지불금이 빠르게 연속적으로 발생합니다.

영수증을 읽으면서 우리는 각각 정확히 25,000 USDC를 계약에서 공격자에게로 이동한 최소 22개의 개별 거래를 계산했습니다. 이 거래는 1분도 안 되어 Ethereum 블록 25448345에서 25448348로 클러스터되어 있습니다. 지불 루프가 시작되기 전의 설정 및 조사 단계와 일치하여 아무것도 전송하지 않은 동일한 계약에 대한 수십 개의 이전 호출이 선행됩니다. 균일한 25,000 USDC 크기와 기관총 타이밍은 계약이 유효하다고 믿었던 포지션을 빼내는 자동화된 스크립트의 서명입니다. CertiK는 진입점을 "무증명 예금"으로 규정했습니다. 이는 글을 쓰는 시점에 공식적인 Hinkal 사후 분석이 게시되지 않았지만 차폐 프로토콜에서 요구하는 영지식 증명 없이 허용되는 예금을 의미합니다.

돈을 따라가다: Tornado Cash, 그리고 비트코인으로의 다리

이는 온체인 트레일이 구체적으로 나타나는 부분이며, 잘린 채로 남겨진 와이어 적용 범위에 대한 세부 정보를 추가할 수 있는 부분입니다. 공격자는 훔친 USDC를 대략 455 이더로 통합한 후 수익금을 두 개의 세탁 경로로 분할했으며, 두 경로 모두 거래별로 추적했습니다.

Step체인이 보여주는 것
Drain계약 0x25e5...a826에서 공격자까지 각각 정확히 25,000 USDC인 22개 이상의 거래
Convert도난당한 USDC가 약 455 ETH로 교환되었습니다.
MixTornado Cash 라우터에 총 410 ETH(10 ETH 중 11개, 100 ETH 중 3개)에 대한 14개 예금, 블록 25448486 ~ 25448510
Bridge한 번의 거래(0x14dd...c76deb)로 THORChain을 통해 전송된 44.6747 ETH, 블록 25448683
Exit기본 비트코인으로 교환됨, 대상 bc1qr2sfkehuqgr0sp87sp25uzw79242523l26zn3w

비트코인 주소는 명심할 가치가 있는 부분입니다. 보고하는 동안 다음으로 잘렸습니다. bc1qr2sf...zn3w 왜냐하면 일반 이체처럼 거래 시 전체 문자열이 인쇄되지 않기 때문입니다. 이는 거래 입력 데이터에 인코딩된 명령인 THORChain 메모 안에 있습니다. 브릿지 트랜잭션에서 해당 메모를 디코딩하면 완전한 스왑 명령이 제공됩니다. =:b:bc1qr2sfkehuqgr0sp87sp25uzw79242523l26zn3w, 이더를 정확한 주소의 기본 비트코인으로 라우팅합니다. 이 단일 디코드는 잘린 자리 표시자를 누구나 볼 수 있는 구체적인 온체인 엔드포인트로 전환합니다.

The Tornado Cash leg is deliberate structuring: fourteen round-number deposits into the mixer's pools rather than one large transfer, a pattern we also traced in this week's Edel Finance 익스플로잇, which likewise funnelled its proceeds through Tornado Cash. Two DeFi drains routing into the same sanctioned mixer within 48 hours is its own signal about where stolen on-chain funds are going in mid-2026.

Why a privacy protocol was the softest target

이름 붙일 만한 아이러니가 있습니다. Hinkal의 전체 내용은 개인 정보 보호입니다. 즉, 사용자가 자신의 활동을 노출하지 않고 거래할 수 있도록 하는 영지식 증명입니다. When the proof-verification path is the thing that fails, the protocol's core feature becomes its attack surface. A "proofless deposit" is exactly the failure mode a shielded system cannot afford, because the proof is the only thing standing between a deposit and the pool's funds.

규모가 더 심해졌습니다. Hinkal held only about $829,000 in total value locked spread across roughly five chains, so a single working exploit on the Ethereum deployment was enough to take nearly everything. The project had raised about $5.5 million from investors including Draper Associates, Quantstamp and NGC Ventures, a reminder that funding and audits do not remove smart-contract risk. The same discipline applies to any on-chain position: before trusting a contract with funds, verify what it actually does, the same way you would screen a token's contract with the 토큰 안전성 검사기 or study how manipulation-style attacks unfold in our explainers on 오라클 조작 and 플래시론 익스플로잇.

Methodology and disclaimer: incident context is drawn from CertiK and PeckShield alerts and reporting by Cryptopolitan, CryptoTimes and others. The transaction-level details, the exploited contract address, the count of 25,000 USDC withdrawals, the 410 ETH Tornado Cash deposits, the THORChain bridge transaction and the full decoded Bitcoin destination address were reconstructed independently from Ethereum mainnet (blocks 25448306 to 25448683). The exact loss is reported between roughly $800,000 and $830,000; 우리는 약 $820,000를 사용합니다. The "proofless deposit" characterization is CertiK's; no official Hinkal post-mortem had been published at the time of writing. 이 글은 정보 제공만을 위한 것이며 재정적 조언이 아닙니다.