Снова день, снова эксплойт.
В сети появилась информация о возможном взломе протокола конфиденциальности для стейблкоинов Hinkal. Похоже, предполагаемая атака была вызвана уязвимостью в одном из его смарт-контрактов.
Сообщается, что эта уязвимость позволила злоумышленнику вывести из системы около 820 000 долларов в USDC.
Первые отчеты предполагают, что злоумышленник извлек средства, которые не должны были быть доступны. Атакующий смог сделать это, манипулируя функцией Hinkal prooflessDeposit(), а затем совершив серию вызовов transact().


Методика проведения атаки
Хотя точный технический дефект остается неизвестным, характер атаки позволяет предположить, что протокол мог не проверять депозиты или не верифицировать криптографические доказательства, лежащие в основе архитектуры конфиденциальности Hinkal.
Возможно, это позволило злоумышленнику повторно вызывать transact() и выводить USDC, хранящиеся в смарт-контракте. В результате ошибка в коде привела к реальным финансовым потерям.
Тем не менее, предполагаемая уязвимость Hinkal указывает на проблему в коде смарт-контракта, что является одной из самых серьезных и постоянных угроз в децентрализованных финансах (DeFi). Хотя инцидент не свидетельствует о фундаментальном недостатке DeFi как такового, он показывает, как ошибки в реализации могут привести к значительным финансовым потерям.
Рост числа эксплойтов в 2026 году
Это происходит на фоне других недавних атак. 20 июня был взломан MEV-бот Jaredfromsubway.eth (Maximal Extractable Value), что привело к потере 7,5 миллионов долларов.
В другом случае хакер использовал flash loan (мгновенный заем) для манипуляции обменным курсом wrapped xStocks, что привело к хищению примерно 403 000 долларов у Edel Finance.
В целом очевидно, что количество мошеннических схем значительно выросло в 2026 году. Фактически, по данным TRM Labs, за последние шесть месяцев было совершено 207 различных взломов.
Тем не менее, несмотря на рост инцидентов, данные DeFiLlama показывают, что общие потери составили 948,13 миллиона долларов, что менее чем вдвое меньше 2,3 миллиарда долларов, похищенных в первой половине 2025 года.


Итог
- Эксплойт протокола конфиденциальности для стейблкоинов Hinkal привел к хищению 820 000 долларов в USDC.
- Злоумышленник злоупотребил функцией prooflessDeposit() протокола Hinkal, а затем совершил серию вызовов transact() для проведения этой атаки.





