Drain des Privacy-Protokolls Hinkal
Ein Angreifer entwendete Hinkal rund 820.000 USD in USDC — nahezu die gesamte chainübergreifende TVL — und wusch die Beute über Tornado Cash und THORChain; die Grundursache ist unbestätigt.
- Datum
- Opfer
- Hinkal
- Status
- Mittel entwendet
Am 3. Juli 2026 wurde Hinkal — ein On-Chain-Privacy-Protokoll für vertrauliche Stablecoin-Überweisungen — um etwa 820.000 US-Dollar in USDC erleichtert, nahezu seine gesamte Total Value Locked, wobei die Erlöse innerhalb weniger Stunden über Tornado Cash und THORChain gewaschen wurden.
Was geschah
Hinkal bietet abgeschirmte, vertrauliche Transaktionen über fünf EVM-Netzwerke — Ethereum, Arbitrum, Base, Polygon und Optimism. Am 3. Juli entzog ein Angreifer den Verträgen von Hinkal rund 820.000 USDC — nahezu die gesamte, laut DefiLlama etwa 829.000 US-Dollar betragende Total Value Locked, die das Protokoll über diese Chains hielt. Die Sicherheitsfirmen CertiK und PeckShield meldeten den Abfluss on-chain, doch es wurde keine bestätigte Grundursache oder technische Aufarbeitung veröffentlicht: Der Einstiegspunkt könnte ein Fehler auf Protokollebene, ein kompromittierter Schlüssel, bösartige Token-Freigaben oder eine Kompromittierung von Frontend/Infrastruktur sein. Dokumentiert ist die Geldspur — der Angreifer tauschte die gestohlenen USDC in ETH, legte 410 ETH (rund 700.000 US-Dollar) in Tornado Cash ein und überbrückte weitere 44,67 ETH von Ethereum nach Bitcoin über THORChain.
Folgen
Die Geldwäsche folgte einem Standard-Verschleierungsmuster: Konsolidierung in ETH, Verwischen der Spur über einen Mixer und anschließendes Cross-Chain-Transferieren des Rests nach Bitcoin. Zum Zeitpunkt der Veröffentlichung waren keine Mittel zurückgeholt, kein Angreifer identifiziert und keine offizielle Protokoll-Aufarbeitung veröffentlicht worden. Der Vorfall wird daher als Verlust mit unbestätigter Grundursache erfasst — ein Status, der selbst von Bedeutung ist, denn kleinen Protokollen fehlt häufig die geprüfte Analyse, mit der Nutzer beurteilen könnten, ob der Fehler im Code, in den Schlüsseln oder in der Oberfläche lag.
Warum es wichtig ist
Es liegt eine bittere Ironie darin, dass ein Privacy-Protokoll geleert und die Beute anschließend über Privacy-Schienen gewaschen wird — dieselbe Mixer-Infrastruktur, auf die Hinkals Nutzer für legitime Vertraulichkeit setzten, wurde zum Fluchtweg des Angreifers. Die nahezu vollständige TVL-Löschung spiegelt das existenzielle Risiko wider, dem andere auf Vertraulichkeit ausgerichtete Projekte wie Secret Network ausgesetzt sind, und die Route über Tornado Cash und cross-chain nach Bitcoin ist dasselbe Geldwäschemuster, das nach größeren Diebstählen wie KelpDAO zu beobachten war. Für ein dünn kapitalisiertes Protokoll ist ein einziger erfolgreicher Drain keine Delle — er ist praktisch die gesamte Schatzkammer, und ohne veröffentlichte Aufarbeitung bleibt die umfassendere Lehre verschlossen, bis die Ursache bestätigt ist.
Quellen & On-Chain-Belege
- [01]cryptopolitan.comhttps://www.cryptopolitan.com/hinkal-privacy-protocol-exploited-for-820000-as-attacker-funnels-stolen-funds-through-tornado-cash/
- [02]cryptoadventure.comhttps://cryptoadventure.com/hinkal-reported-exploited-for-820k-as-funds-move-to-tornado-cash-and-bitcoin/