Pérdida de 820 mil dólares por vulnerabilidad en Hinkal DeFi, 410 ETH implicados en lavado de dinero.

ETH6,14%
ARB1,62%
OP4,04%

El protocolo de privacidad DeFi Hinkal fue atacado el 3 de julio mediante una vulnerabilidad de contrato inteligente, perdiendo aproximadamente 820 mil dólares en USDC. La empresa de seguridad blockchain CertiK detectó el ataque primero, señalando que el atacante utilizó una cuenta externa (EOA), realizó múltiples depósitos en el contrato inteligente de Hinkal tras ejecutar una operación de «sin prueba de depósito» y retiró USDC. Los fondos robados se convirtieron a Ethereum, y 410 ETH estuvieron involucrados en el lavado de dinero.

CertiK: El atacante extrajo USDC del contrato inteligente de Hinkal mediante una vulnerabilidad de «sin prueba de depósito»

Según el informe de seguridad de CertiK en X, el atacante utilizó la dirección de cuenta externa (EOA) 0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20, y tras ejecutar lo que CertiK denominó una operación de «sin prueba de depósito» (no proof of deposit), realizó una serie de operaciones de depósito en el contrato inteligente de Hinkal, extrayendo USDC sin necesidad de proporcionar una prueba de depósito válida.

La cantidad robada reportada por CertiK supera los 800 mil dólares; el análisis del investigador en cadena Specter (citado por PeckShield) muestra que la pérdida real de Hinkal es de aproximadamente 820 mil dólares.

Ruta de lavado de los fondos robados: USDC convertido a ETH y luego transferido a través de Tornado Cash y Thorchain

Según análisis posteriores de CertiK y PeckShield, la ruta de transferencia de los fondos robados es la siguiente:

Intercambio USDC → ETH: Los USDC robados se convirtieron a Ethereum (ETH) en cuestión de horas tras el ataque

Tornado Cash: 410 ETH (aproximadamente 700 mil dólares) se depositaron en Tornado Cash, un mezclador de Ethereum sancionado por el gobierno de EE.UU.

Puente Thorchain: 44,67 ETH se transfirieron de la blockchain de Ethereum a la blockchain de Bitcoin a través de Thorchain

Dirección Bitcoin de destino: Los fondos llegaron finalmente a una dirección Bitcoin que comienza con bc1qr2sf

PeckShield señaló que este patrón de lavado de dinero, donde los USDC se convierten a Bitcoin a través de puentes entre cadenas, ha sido observado y registrado por agencias antifraude en múltiples ataques de hackers DeFi en el último año.

El TVL de Hinkal antes del ataque era de 829 mil dólares, casi completamente drenado

Según datos de DeFiLlama, el TVL de Hinkal en el momento del ataque era de solo 829 mil dólares, y esta pérdida de aproximadamente 820 mil dólares significa que casi todos los depósitos de los usuarios fueron robados. En comparación con competidores de protocolos de privacidad, el TVL de Tornado Cash era de 440 millones de dólares, Railgun de 77,5 millones de dólares y Privacy Pools de 7,8 millones de dólares. Hinkal estaba cerca del final en el ranking de protocolos de privacidad antes del ataque.

Antecedentes de Hinkal: opera en cinco blockchains, recaudó 5,5 millones de dólares

Según informes, Hinkal se posiciona como una capa de privacidad para transacciones en cadena de nivel institucional, permitiendo a los usuarios crear direcciones blindadas y realizar intercambios, transferencias y pagos en blockchains públicas sin revelar saldos de billeteras ni información de contrapartes. El protocolo está desplegado en Ethereum, Arbitrum, Base, Polygon y OP Mainnet. Hinkal recaudó 5,5 millones de dólares a través de rondas de semilla y financiación estratégica de Draper Associates, Quantstamp y NGC Ventures.

El día anterior al ataque, Hinkal anunció una asociación con el proveedor de infraestructura de billeteras Turnkey, planeando ofrecer funciones de privacidad a los usuarios de Turnkey. Al momento de la publicación, Hinkal no ha hecho una declaración pública sobre este ataque en su cuenta oficial de X ni en su sitio web.

Preguntas frecuentes

¿Cómo ocurrió este ataque a Hinkal?

Según el análisis de seguridad de CertiK, el atacante explotó la vulnerabilidad de «sin prueba de depósito» en el contrato inteligente de Hinkal, realizó múltiples operaciones de depósito sin proporcionar una prueba de depósito válida y extrajo aproximadamente 820 mil dólares en USDC. La cantidad robada equivale casi al TVL total del protocolo en cinco blockchains (829 mil dólares).

¿A dónde fueron finalmente los fondos robados?

Según el análisis de CertiK y PeckShield, después de que los USDC robados se convirtieran a ETH, 410 ETH (aproximadamente 700 mil dólares) se depositaron en Tornado Cash; 44,67 ETH se transfirieron a la blockchain de Bitcoin a través de Thorchain, llegando a una dirección Bitcoin que comienza con bc1qr2sf.

¿Qué protocolo es Hinkal y hay una respuesta oficial hasta ahora?

Según informes, Hinkal es un protocolo de privacidad en cadena de nivel institucional, desplegado en Ethereum, Arbitrum, Base, Polygon y OP Mainnet, y recaudó 5,5 millones de dólares en financiamiento. Al momento de la publicación, Hinkal no ha hecho una declaración pública sobre este ataque en su cuenta oficial de X ni en su sitio web.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios