Saldırganlar, 3 Temmuz'da zincir üstü gizlilik protokolü Hinkal'den yaklaşık 830.000 USDC çalmak için kanıtsız para yatırma (proofless deposit) açığını kullanarak protokolün akıllı sözleşmelerini boşalttı.
Blok zinciri güvenlik firması CertiK, X üzerinden yaptığı uyarıda, "@hinkal_protocol ile ilgili şüpheli işlemler tespit ettik. EOA, bir Hinkal sözleşmesinden yaklaşık 800.000 USDC çekmek için 'Kanıtsız Para Yatırma' işleminin ardından birden fazla 'İşlem' gerçekleştirdi." dedi.
Saldırgan, çalınan USDC'yi Ethereum'a dönüştürdü; PeckShield ve zincir üstü araştırmacı Specter'e göre 410 ETH'yi (yaklaşık 700.000 dolar) yaptırıma tabi kripto karıştırıcı Tornado Cash'e yatırdı ve 44,67 ETH'yi Thorchain aracılığıyla Bitcoin'e köprüledi. Fonlar sonunda bc1qr2sf ile başlayan bir Bitcoin adresine ulaştı.
Saldırı, Hinkal'in Ethereum, Arbitrum, Base, Polygon ve OP Mainnet olmak üzere beş blok zincirindeki 829.000 dolarlık toplam kilitli değerinin (TVL) neredeyse tamamını silerek kullanıcılara geri kazanabilecekleri fiilen hiçbir mevduat bırakmadı. Draper Associates, Quantstamp ve NGC Ventures'tan 5,5 milyon dolar fon toplayan Hinkal, kendisini zincir üstü işlemler için kurumsal düzeyde bir gizlilik katmanı olarak tanıtmış ve kullanıcıların takas ve transferler için korumalı adresler oluşturmasına olanak sağlıyordu.
Çalınan fonları aklamak için Tornado Cash ve zincirler arası köprülerin kullanılması, son bir yılda diğer DeFi saldırılarında da gözlemlenen bir modeli izliyor. ACM Web Konferansı 2026'da yayınlanan bir araştırma makalesi, yaptırım uygulanan kripto karıştırıcılarının artan düzenleyici baskıya rağmen aklanan fonlar için anonimlik sağlamaya devam ettiğini gösterdi. CertiK ayrıca, ABD yaptırımları uygulandığından bu yana Tornado Cash kullanımının nasıl evrildiğini belgeledi ve hem suçluların hem de gizlilik bilincine sahip kullanıcıların aynı altyapıya güvendiğini ve bunun kolluk kuvvetlerinin çabalarını zorlaştırdığını kaydetti.
DefiLlama verilerine göre, kilitli toplam değer bakımından Hinkal'in en yakın rakipleri arasında 440 milyon dolarla Tornado Cash, 77,5 milyon dolarla Railgun ve 7,8 milyon dolarla Privacy Pools yer alıyor. Saldırı öncesi 829.000 dolarlık TVL'siyle Hinkal, gizlilik protokolü sektörünün en alt sıralarında yer alıyordu. Protokol, saldırıdan bir gün önce cüzdan altyapı sağlayıcısı Turnkey ile bir ortaklık duyurmuştu ancak yayın anına kadar saldırıyla ilgili kamuya açık bir yanıt yayınlamamıştı.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.