Drain du protocole de confidentialité Hinkal
Un attaquant a drainé environ 820 000 dollars en USDC de Hinkal — presque toute sa TVL multi-chaînes — puis les a blanchis via Tornado Cash et THORChain ; la cause racine reste non confirmée.
- Date
- Victime
- Hinkal
- Statut
- Fonds dérobés
Le 3 juillet 2026, Hinkal — un protocole de confidentialité on-chain pour des transferts confidentiels de stablecoins — a été drainé d'environ 820 000 dollars en USDC, soit la quasi-totalité de sa valeur totale verrouillée, les gains étant blanchis via Tornado Cash et THORChain dans les heures qui ont suivi l'exploit.
Ce qui s'est passé
Hinkal propose des transactions blindées et confidentielles sur cinq réseaux EVM — Ethereum, Arbitrum, Base, Polygon et Optimism. Le 3 juillet, un attaquant a extrait environ 820 000 USDC des contrats de Hinkal — la quasi-totalité des quelque 829 000 dollars de valeur totale verrouillée que le protocole détenait sur ces chaînes, selon DefiLlama. Les sociétés de sécurité CertiK et PeckShield ont signalé le drain on-chain, mais aucune cause racine confirmée ni analyse technique n'a été publiée : le point d'entrée pourrait être une faille au niveau du protocole, une clé compromise, des approbations de tokens malveillantes ou une compromission du frontend ou de l'infrastructure. Ce qui est documenté, c'est la trace de l'argent — l'attaquant a échangé les USDC volés contre de l'ETH, déposé 410 ETH (environ 700 000 dollars) dans Tornado Cash et transféré 44,67 ETH supplémentaires d'Ethereum vers Bitcoin via THORChain.
Conséquences
Le blanchiment a suivi un manuel d'obfuscation standard : consolider en ETH, brouiller la piste via un mixeur, puis transférer le reste en cross-chain vers Bitcoin. À la publication, aucun fonds n'avait été récupéré, aucun attaquant n'avait été identifié et aucune analyse officielle du protocole n'avait été diffusée. L'incident est donc consigné comme une perte à cause racine non confirmée — un statut qui compte en soi, car les petits protocoles manquent souvent de l'analyse auditée qui permettrait aux utilisateurs de juger si la faille venait du code, des clés ou de l'interface.
Pourquoi c'est important
Il y a une ironie mordante à voir un protocole de confidentialité drainé, puis son butin blanchi par des rails de confidentialité — la même infrastructure de mixage sur laquelle les utilisateurs de Hinkal comptaient pour une confidentialité légitime est devenue la voie d'évasion de l'attaquant. L'effacement de la quasi-totalité de la TVL reflète le risque existentiel que courent d'autres projets axés sur la confidentialité comme Secret Network, et la route Tornado Cash puis cross-chain vers Bitcoin est le même schéma de blanchiment observé après des vols plus importants comme KelpDAO. Pour un protocole faiblement capitalisé, un seul drain réussi n'est pas une éraflure : c'est pratiquement tout le trésor, et sans analyse publiée, la leçon plus large reste verrouillée jusqu'à ce que la cause soit confirmée.
Sources & preuves on-chain
- [01]cryptopolitan.comhttps://www.cryptopolitan.com/hinkal-privacy-protocol-exploited-for-820000-as-attacker-funnels-stolen-funds-through-tornado-cash/
- [02]cryptoadventure.comhttps://cryptoadventure.com/hinkal-reported-exploited-for-820k-as-funds-move-to-tornado-cash-and-bitcoin/