Kryptolehti.fi Oppaat
Ladataan markkinadataa…
Hinkal-protokollasta vuoti 820 000 dollaria – syynä älysopimuksen koodivirhe, ei DeFin vika

Hinkal-protokollasta vuoti 820 000 dollaria – syynä älysopimuksen koodivirhe, ei DeFin vika

4. heinäkuuta 2026 klo 17.49 Markkinat Lasse Braden
Lue tiivistelmä

Hyökkääjä pääsi käsiksi varoihin manipuloimalla yhtä älysopimuksen funktiota ja toistamalla nostoja. Tapaus on tuoreimpia esimerkkejä vuoden 2026 hakkerointiaallosta, jossa iskuja on enemmän mutta rahaa katoaa vähemmän kuin vuotta aiemmin.

Noin 820 000 dollarin arvosta USDC-stablecoinia katosi Hinkal-protokollasta, eikä hyökkääjän olisi pitänyt yltää varoihin lainkaan. Kyseessä on stablecoinien yksityisyyteen erikoistunut palvelu, jonka yhtä älysopimusta epäillään käytetyn hyväksi.

Tietoturvayhtiö GoPlus Security kertoi, että hyökkäys eteni protokollan prooflessDeposit()-funktion kautta. Hyökkääjä manipuloi funktiota ja ketjutti perään joukon transact()-kutsuja.

Todisteiden varmennus yksityisyysprotokollassa

Hinkalin kaltainen yksityisyysprotokolla piilottaa talletukset ja nostot kryptografisten todisteiden taakse. Järjestelmän pitää tarkistaa jokainen todiste ennen kuin se päästää varat liikkeelle. Jos tarkistus pettää, hyökkääjä voi nostaa rahaa, johon hänellä ei ole oikeutta.

Tarkkaa teknistä vikaa ei ole vahvistettu. Merkit viittaavat siihen, että protokolla ei tarkistanut talletuksia eikä varmentanut niitä kryptografisia todisteita, joille sen koko yksityisyysrakenne nojaa. Näin hyökkääjä pystyi nostamaan älysopimuksen hallussa ollutta USDC:tä yhä uudelleen.

Kaava on tuttu. Kun älysopimus luottaa tarkistukseen, jota se ei todellisuudessa tee, hyökkääjä voi toistaa saman kutsun niin kauan kuin kassa riittää.

Todistaako vuoto, että hajautettu rahoitus on pohjimmiltaan rikki? Ei todista. Vika oli koodissa, ei mallissa.

Yksittäisen älysopimuksen koodivirhe on hajautetun rahoituksen (DeFi) sitkeimpiä riskiluokkia, eikä se ole sama asia kuin virhe itse ajatuksessa.

Vuosi 2026: enemmän iskuja, vähemmän rahaa

Hinkalin tapaus ei jää tänä vuonna yksin. Kesäkuun 20. päivänä Jaredfromsubway.eth-niminen MEV-botti vietiin harhaan, ja tappioita kertyi 7,5 miljoonaa dollaria. Toisessa iskussa hyökkääjä käytti pikalainaa (flash loan) vääristääkseen wrapped xStocks -tuotteen vaihtokurssia, mikä maksoi Edel Financelle noin 403 000 dollaria.

Onko krypto siis vaarallisempi kuin koskaan? Luvut antavat kaksijakoisen vastauksen.

Tietoturvayhtiö TRM Labsin mukaan alkuvuoden aikana kirjattiin 207 erillistä hakkerointia. DeFiLlaman keräämät luvut kertovat silti, että rahalliset tappiot jäivät 948,13 miljoonaan dollariin – alle puoleen siitä 2,3 miljardista dollarista, joka vietiin vuoden 2025 alkupuoliskolla.

TRM Labsin mukaan hyökkäysten määrä on ennätystasolla, mutta DeFiLlaman keräämien lukujen mukaan rahalliset tappiot jäivät alle miljardiin dollariin.

Iskujen tiheys siis kasvaa ja dollarimääräiset menetykset laskevat. Isoimmat protokollat ovat oppineet suojaamaan itseään, ja hyökkääjät osuvat yhä useammin pieniin kohteisiin.

Hinkalin kaltaiset tapaukset muistuttavat, että jokainen uusi älysopimus on myös uusi hyökkäyspinta. Jää nähtäväksi, kuinka moni tämän vuoden vioista olisi ollut ihan vältettävissä huolellisemmalla koodikatselmoinnilla.

LB
Lasse Braden

Päätoimittaja

Kryptolehti.fi:n päätoimittaja ja kryptovaluutta-analyytikko.

Lisää Kryptolehti suosikkilähteeksi Googlessa

Vaatii Google-tilille kirjautumisen.

Lue myös