Взлом Hinkal: как вывели и отмывали 772 000 USDC

AML Crypto восстановила маршрут похищенных у Hinkal 772 000 USDC через Tornado Cash, THORChain и Bitcoin и выявила возможные цифровые следы злоумышленника.
Получить консультацию экспертов AML Crypto
Речь пойдёт об инциденте с privacy-протоколом Hinkal, произошедшем 2 июля 2026 года. Этот кейс интересен сразу с нескольких сторон: действиями самого злоумышленника, следами, которые он так или иначе оставляет по ходу вывода и отмывания средств, а также сообщениями, отправленными через блокчейн в ходе переговоров с ним.

Команда AML Crypto восстановила движение похищенных средств в Bholder.
Ниже мы последовательно рассматриваем потерпевшего, механику атаки, хронологию выводов и главное с практической точки зрения - сервисы, на стороне которых могут оставаться цифровые следы для дальнейшего расследования.
  • Потерпевший:
  • Краткая справка:
    Hinkal - это privacy-протокол на базе zero-knowledge для приватных транзакций в публичных блокчейнах. Его идея: скрывать от внешних наблюдателей кошельки, суммы и контрагентов, при этом оставляя расчёты публично проверяемыми.

    Что делает: позволяет вносить активы в «shielded»/приватный слой, а затем приватно переводить, выводить, свапать или использовать их в DeFi без прямой связи с исходным адресом.
  • Дата инцидента:
    2 июля 2026 в 19:05 UTC
  • Суть инцидента:
    Hinkal сообщил об инциденте безопасности, связанном с аномальной активностью USDC в сети Ethereum. По данным команды и внешних расследований, инцидент был ограничен одним смарт-контрактом/пулами ликвидности на Ethereum; деплойменты в других сетях не пострадали. Ущерб составил около 772 000 USDC.

    Предварительно атака была связана с ошибкой в логике смарт-контракта. По данным on-chain-аналитики, злоумышленник смог воспользоваться этой ошибкой, провести операции без корректного подтверждения депозита, а затем вывести USDC из контракта через серию транзакций (по данным on-chain-аналитики, использовал сценарий с proofless deposit*, после чего выполнил серию выводов USDC из контракта).
Proofless deposit (бездоказательный депозит)
В приватных пулах вроде Hinkal балансы скрыты, поэтому право на вывод средств подтверждается не открытой суммой, а криптографическим доказательством (zero-knowledge-пруфом) - «у меня есть реальная нота на эту сумму, и я её не тратил». Контракт проверяет пруф и только тогда признаёт операцию законной.

Proofless deposit - это регистрация депозитной записи в пуле без такой обязательной проверки. Контракт по ошибке принимает «расписку» о средствах, за которой не стоит ни реального внесения токенов, ни валидного доказательства.

Предпринятые действия на момент написания поста

  • Hinkal приостановил смарт-контракты для расследования, устранения проблемы и дополнительной проверки безопасности.
  • Команда также ведёт отслеживание средств совместно с блокчейн-security компаниями, сообщила об инциденте федеральным правоохранительным органам США и заявила о компенсации пострадавшим пользователям в формате 1:1; детали процедуры и сроки компенсации должны быть опубликованы отдельно.
  • Hinkal направил злоумышленнику on-chain сообщение с предложением урегулировать инцидент как white-hat recovery: вернуть 90% средств на адрес владельца Hinkal
    0xBdc77a0c69f13207aCB70a6981Cad60B4c1D1942, а 10% оставить в качестве вознаграждения. В случае возврата средств компания заявила, что не будет предпринимать гражданско-правовые действия и публично опишет ситуацию как возврат средств, а не атаку. Срок для принятия предложения установлен до 11 июля 23:59 UTC; после этого Hinkal намерен продолжить дело через правоохранительные органы. Аналогичные сообщения были разосланы в сети Bitcoin в рамках этих транзакций: 6e46ebf43a11788c428025907e17597506f64a5d0d55563c48b57a997334e8f9 36c7a0e3af6c17986a4c47063d6a0a931a79268bbcee36c214f04cea61d7f6e5 1ec41c2cd2c4c2e0dc0ed2f42d5c2678166001ae14962dc00f77f039735f8a49 dcd96497c8c723a34626bf0817d389e963520724fd117d3a928ace587059092f d396afc1c94ba0efa00323e81498a118398d130ee0962c96473c9dbb87e9d4a3
Запросы на возврат:
Мы полагаем, что вы, возможно, не являетесь человеком, который обычно занимается подобными вещами, и что ситуация могла зайти дальше, чем вы ожидали. Если это так, у вас всё ещё есть возможность выйти из неё без дальнейших последствий. Верните 90% средств на адрес 0xBdc77a0c69f13207aCB70a6981Cad60B4c1D1942 — адрес владельца Hinkal, подлинность которого вы можете проверить, — и оставьте себе 10%. В таком случае мы расценим это как возврат средств в рамках white-hat recovery, не будем подавать гражданский иск и публично представим произошедшее как добровольный возврат, а не как атаку. На этом всё закончится, и эта ситуация не должна определять ваше будущее. Кроме того, перемещать эти средства без риска раскрытия личности крайне сложно, и со временем этот риск будет только возрастать. Примите решение в течение 72 часов — до 11 июля, 23:59 UTC. Если к этому моменту средства не будут возвращены, мы обратимся в правоохранительные органы. Однако мы надеемся, что до этого не дойдёт. Выбор за вами. Если вы хотите обсудить ситуацию, напишите нам по адресу recover@hinkal.pro. [ссылка]
Уведомление об эксплойте Hinkal: предложение для white hat — верните 90% и оставьте себе 10%. Срок — 72 часа. Email: team_acc@hinkal.pro [ссылка] [ссылка]

Печень сервисов, с которыми взаимодействовал злоумышленник

Сервис 1: Metamask
  • Характер связи:
    Адрес, предположительно, входящий в кластер предполагаемого злоумышленника использовал сервис Metamask Swap, что означает, что адрес был использован в кошельке Metamask.
  • Причина обращения:
    В официальной ссылке на MetaMask Terms of Use, в условиях прямо сказано, что при использовании MetaMask/Offerings пользователь соглашается на сбор, использование, раскрытие и иную обработку информации в соответствии с Privacy Notice. Официальная ссылка на Consensys / MetaMask Privacy Notice указывает, что MetaMask/Consensys может обрабатывать IP-адреса, wallet/transaction-related information, wallet address при API-запросах в дефолтных настройках, а также device/usage information: IP, примерное местоположение, данные устройства, browser type, device identifiers, cookie data и interactions with the Offerings.
  • Контакт для связи:
Сервис 2: Vizor.cash
  • Характер связи:
    Часть ликвидности на адресе злоумышленника имеет происхождение из сервиса Vizor.cash (криптокошелек), который использует API Near Intents для осуществления свапов.
  • Причина обращения:
    При синхронизации и отправке транзакций Vizor обращается к Zcash network services / lightwalletd endpoints. Операторы endpoint’ов и сетевые провайдеры могут получать технические метаданные: IP-адрес, время запросов, endpoint requests, запрошенные blockchain data и данные broadcast транзакций. Для shielded Zcash содержимое транзакций защищено протоколом, но сетевые метаданные всё равно могут быть видны инфраструктурным провайдерам.
Сервис 3: OKX DEX
  • Причина обращения:
    Согласно OKX Web3 Privacy Notice, OKX может собирать и хранить данные, связанные с транзакциями на OKX Web3 Platform, балансы подключённых кошельков, переписку с поддержкой, а также технические идентификаторы: device fingerprint, IP-адрес, MAC number, geolocation information, unique device identifiers и session information. Также они могут собирать информацию об активности на сторонних web-apps/websites, когда OKX Web3 Wallet взаимодействует с такими сервисами.
  • Контакт для связи:
Сервис 4: Thorchain
  • Причина обращения:
    Если злоумышленник использовал именно swap.thorchain.org: Privacy Policy указывает, что сервис может собирать wallet addresses, transaction information, correspondence, chatbot interactions, а автоматически — IP-адрес, browser/device/OS, access times, pages viewed, log files, referrer/exit pages, click data и analytics. Также могут быть задействованы RPC-провайдеры, analytics, Cloudflare и customer support tools.
  • Контакт для связи:
    Документация по emergency procedures рекомендует писать команде/админам через Dev Discord, при необходимости тегать @thorsec, либо отправлять report через bug bounty program.
Сервис 5: Binance
  • Причина обращения:
    Согласно Privacy Notice и Privacy Portal, Binance обрабатывает следующие категории данных: идентификационные/KYC-данные, контактные данные, финансовую информацию, transactional information, browsing information, usage data, а также данные, связанные с AML/KYC и безопасностью аккаунта. В отдельных юрисдикционных privacy notice также прямо упоминаются government identifiers, sensitive / biometric personal data, blockchain data, коммуникации с поддержкой, данные браузинга и использования сервиса.
  • Контакт для связи:
    Binance Government Law Enforcement Request System / LERS. Для юридических представителей и third-party court orders предусмотрена отдельная форма Binance Legal.

Хронология развития событий

  • Этап 0: Выявленная очейн-подготовка к реализации преступной деятельности:
2026-07-01 09:35:59
2026-07-01 09:35:59
тестовый прогон Tornado Cash: проверка миксера как инструмента отмывания за сутки до инцидента.
2026-07-02 19:02:11
2026-07-02 19:02:11
обмен ZEC на ETH через Vizor.cash (0.26 ETH, ≈ $436) для тестирования уязвимости и обеспечения нативными токенами адресам, вовлеченных в тестирование и последующее хищение.
2026-07-02 19:05:11
2026-07-02 19:05:11
обмен ETH на USDC через OKX DEX для тестирования уязвимости на Hinkal.Pro.
  • Этап 1. Реализация преступного умысла
2026-07-02 19:56 – 22:21
2026-07-02 19:56 – 22:21
финальное тестирование уязвимости протокола.
2026-07-02 21:42:11 – 21:49:47
2026-07-02 21:42:11 – 21:49:47
фондирование адресов, задействованных в атаке, ETH для оплаты газа.
2026-07-02 22:11:35 – 2026-07-03 00:19:23
2026-07-02 22:11:35 – 2026-07-03 00:19:23
вывод средств из контракта: 797 000 USDC и 0,08 ETH (85 транзакций). Атака заняла 2 часа 7 минут 48 секунд
2026-07-03 00:07:23
2026-07-03 00:07:23
отправка 25 000 USDC обратно на Hinkal.pro - предположительно попытка провести дополнительное хищение. Попытка, вероятно, не удалась; итоговый объём хищения - 772 000 USDC.
  • Этап 2. Отмывание средств
2026-07-03 00:17:11
2026-07-03 00:17:11
начало обмена USDC на ETH через децентрализованную платформу Uniswap.
2026-07-03 00:43:23 – 00:48:11
2026-07-03 00:43:23 – 00:48:11
депонирование ETH в Tornado Cash (14 транзакций).
2026-07-03 01:18:35 – 01:28:11
2026-07-03 01:18:35 – 01:28:11
вывод средств из Tornado Cash.
2026-07-03 01:23:23
2026-07-03 01:23:23
обмен 44,67 ETH на BTC через THORChain.
2026-07-03 02:35:23 – 03:20:12
2026-07-03 02:35:23 – 03:20:12
транзитная активность в сети Bitcoin.
2026-07-03 03:25:51
2026-07-03 03:25:51
вывод части средств на депозитный адрес Binance.
2026-07-03 04:03:57
2026-07-03 04:03:57
депонирование в неустановленный сервис (адрес 1: паттерн «накопление → трата», адрес 2: активная транзакционной активностью и средствами множества участников).
2026-07-03 11:56:38 – 2026-07-08 19:16:32
2026-07-03 11:56:38 – 2026-07-08 19:16:32
депонирование в неустановленный обменник или кошелёк со встроенной функцией CoinJoin.

Заметки аналитика

  • Корреляция потоков через Tornado Cash
    С высокой степенью вероятности можно предположить переток части средств через Tornado Cash. Данная гипотеза основана на совпадении нескольких факторов: временного паттерна, объёмов средств, количества транзакций, а также соответствия номиналов депозитов и последующих выводов из Tornado Cash.

    Иными словами, наблюдается согласованность между входящими и исходящими операциями по времени и суммам, что позволяет аргументированно рассматривать Tornado Cash как один из этапов сокрытия следов.
  • Предварительное тестирование Tornado Cash до инцидента
    За два дня до основного инцидента предполагаемый злоумышленник провёл тестовый вывод через Tornado Cash на сумму 0.1 ETH. Такой тест может указывать на предварительную подготовку инфраструктуры и проверку маршрута вывода средств до совершения основной атаки.

    Это, в свою очередь, усиливает гипотезу о том, что атака была заранее спланирована, а не являлась спонтанным действием.
  • Активность злоумышленника в Zcash-экосистеме
    Предполагаемый злоумышленник также был замечен в Zcash-экосистеме. Использование privacy-инструментов и анонимизирующих блокчейн-сервисов в рамках данного кейса выглядит последовательным элементом операционного паттерна.

    Отдельного внимания заслуживает тот факт, что одним из источников части средств выступает privacy-focused сервис Vizor.cash, связанный с Zcash и поддерживающий свапы через NEAR Intents.
  • Следы использования CoinJoin в сети Bitcoin
    В сети Bitcoin также зафиксирована активность, связанная с предполагаемым злоумышленником. В частности, наблюдаются транзакции CoinJoin, которые могли быть выполнены с использованием специализированного privacy-инструмента, предположительно Wasabi Wallet.

    Такой тип активности может указывать на дополнительную попытку затруднить последующую атрибуцию средств после их перемещения в Bitcoin-сеть.
  • Интерпретация потоков через Tornado Cash и THORChain
    В рамках инцидента предполагаемый злоумышленник начал перемещение похищенных средств через Tornado Cash в промежутке с 2026-07-03 00:43:23 по 2026-07-03 00:48:11.

    Последующие выводы из Tornado Cash были зафиксированы в промежутке с 2026-07-03 01:18:35 по 2026-07-03 01:28:11.

    Далее, в 2026-07-03 01:23:23, была совершена транзакция через THORChain. Таким образом, во время процесса отмывания средств злоумышленник синхронно использовал несколько маршрутов: часть средств, вероятно, была оставлена или выведена в качестве “операционного остатка” либо потенциального вознаграждения, тогда как основной поток мог быть направлен на дальнейшее сокрытие следов.

    Предварительно можно предположить, что именно ветка, связанная с THORChain, может быть наиболее перспективной для дальнейшего анализа, поскольку в ней злоумышленник мог допустить операционную ошибку или оставить дополнительные следы, позволяющие установить дальнейшее движение средств.
  • Выводы по инциденту
    Совокупность выявленных признаков позволяет предположить, что атака на Hinkal была заранее подготовлена. На это указывают тестовая транзакция через Tornado Cash до инцидента, последовательное использование анонимизирующих инструментов, а также быстрое распределение похищенных средств между несколькими блокчейнами и сервисами. Применение Tornado Cash, Zcash-инфраструктуры и CoinJoin выглядит не как набор случайных действий, а как единая стратегия, направленная на разрыв транзакционных связей и затруднение последующей атрибуции.

    При этом полная анонимизация достигнута не была: временные и суммовые корреляции, особенности транзакционной активности и взаимодействие с THORChain, MetaMask, Vizor.cash, Binance и OKX DEX формируют ряд потенциальных точек для дальнейшего расследования. Наиболее перспективной представляется ветка, связанная с THORChain и последующим перемещением средств в сети Bitcoin, где злоумышленник мог оставить дополнительные технические и поведенческие следы. Получение данных от задействованных сервисов и сопоставление их с результатами on-chain-анализа могут существенно сузить круг возможных участников и установить дальнейший маршрут похищенных активов.

Адреса злоумышленнника

Транзакции хищения

  • Транзакция в обратную сторону:
Хотите узнать больше и получить консультацию экспертов? Оставьте email и мы с вами оперативно свяжемся!
Смотрите также