Saltar al contenido
Est. MMXXVIVol. VI · № 304RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 304Otro

Drenaje del protocolo de privacidad Hinkal

Un atacante drenó unos 820.000 dólares en USDC del protocolo de privacidad Hinkal —casi todo su TVL multicadena— y luego lo lavó mediante Tornado Cash y THORChain; la causa raíz no está confirmada.

Fecha
Víctima
Hinkal
Estado
Fondos robados

El 3 de julio de 2026, Hinkal —un protocolo de privacidad on-chain para transferencias confidenciales de stablecoins— fue drenado de aproximadamente 820.000 dólares en USDC, casi todo su valor total bloqueado, y las ganancias se lavaron a través de Tornado Cash y THORChain en cuestión de horas tras el exploit.

Qué ocurrió

Hinkal ofrece transacciones blindadas y confidenciales en cinco redes EVM: Ethereum, Arbitrum, Base, Polygon y Optimism. El 3 de julio, un atacante extrajo unos 820.000 USDC de los contratos de Hinkal —casi la totalidad de los aproximadamente 829.000 dólares de valor total bloqueado que el protocolo mantenía en esas cadenas, según DefiLlama—. Las firmas de seguridad CertiK y PeckShield señalaron el drenaje on-chain, pero no se publicó ninguna causa raíz confirmada ni análisis técnico: el punto de entrada podría ser un fallo a nivel de protocolo, una clave comprometida, aprobaciones de tokens maliciosas o una vulneración del frontend o la infraestructura. Lo que sí está documentado es el rastro del dinero: el atacante cambió los USDC robados por ETH, depositó 410 ETH (unos 700.000 dólares) en Tornado Cash y transfirió otros 44,67 ETH de Ethereum a Bitcoin mediante THORChain.

Consecuencias

El lavado siguió un manual de ofuscación estándar: consolidar en ETH, romper el rastro con un mezclador y luego mover el resto entre cadenas hacia Bitcoin. En el momento de la publicación, no se había recuperado ningún fondo, no se había identificado a ningún atacante y no se había divulgado ningún análisis oficial del protocolo. Por ello, el incidente se registra como una pérdida con causa raíz no confirmada, un estado que en sí mismo importa, porque los protocolos pequeños a menudo carecen del desglose auditado que permitiría a los usuarios juzgar si el fallo estuvo en el código, en las claves o en la interfaz.

Por qué importa

Hay una ironía punzante en que un protocolo de privacidad sea drenado y su botín luego lavado por rieles de privacidad: la misma infraestructura de mezcla en la que confiaban los usuarios de Hinkal para su confidencialidad legítima se convirtió en la vía de escape del atacante. El barrido de casi todo el TVL refleja el riesgo existencial que enfrentan otros proyectos centrados en la confidencialidad como Secret Network, y la ruta de Tornado Cash más el puente cross-chain hacia Bitcoin es el mismo patrón de lavado visto tras robos mayores como KelpDAO. Para un protocolo con poco capital, un solo drenaje exitoso no es una abolladura: es prácticamente todo el tesoro, y sin un análisis publicado, la lección más amplia permanece bloqueada hasta que se confirme la causa.

Fuentes y evidencia on-chain

  1. [01]cryptopolitan.comhttps://www.cryptopolitan.com/hinkal-privacy-protocol-exploited-for-820000-as-attacker-funnels-stolen-funds-through-tornado-cash/
  2. [02]cryptoadventure.comhttps://cryptoadventure.com/hinkal-reported-exploited-for-820k-as-funds-move-to-tornado-cash-and-bitcoin/

Registros relacionados