
Hinkal-protokollasta vuoti 820 000 dollaria – syynä älysopimuksen koodivirhe, ei DeFin vika
- Hinkal-protokollasta vuoti noin 820 000 dollaria USDC:tä epäillyn älysopimusvirheen kautta.
- Hyökkääjä käytti hyväkseen prooflessDeposit()-funktiota ja ketjutti perään transact()-kutsuja.
- Kyse on toteutuksen koodivirheestä, ei hajautetun rahoituksen perusmallin viasta.
- TRM Labsin mukaan alkuvuonna 2026 tehtiin 207 hakkerointia, tappioita 948,13 miljoonaa dollaria.
Hyökkääjä pääsi käsiksi varoihin manipuloimalla yhtä älysopimuksen funktiota ja toistamalla nostoja. Tapaus on tuoreimpia esimerkkejä vuoden 2026 hakkerointiaallosta, jossa iskuja on enemmän mutta rahaa katoaa vähemmän kuin vuotta aiemmin.
Noin 820 000 dollarin arvosta USDC-stablecoinia katosi Hinkal-protokollasta, eikä hyökkääjän olisi pitänyt yltää varoihin lainkaan. Kyseessä on stablecoinien yksityisyyteen erikoistunut palvelu, jonka yhtä älysopimusta epäillään käytetyn hyväksi.
Tietoturvayhtiö GoPlus Security kertoi, että hyökkäys eteni protokollan prooflessDeposit()-funktion kautta. Hyökkääjä manipuloi funktiota ja ketjutti perään joukon transact()-kutsuja.
Hinkal-protokollasta epäillään vuodetun noin 820 000 dollaria USDC:tä älysopimuksen virheen kautta.
– GoPlus Security (@GoPlusSecurity) July 4, 2026
Todisteiden varmennus yksityisyysprotokollassa
Hinkalin kaltainen yksityisyysprotokolla piilottaa talletukset ja nostot kryptografisten todisteiden taakse. Järjestelmän pitää tarkistaa jokainen todiste ennen kuin se päästää varat liikkeelle. Jos tarkistus pettää, hyökkääjä voi nostaa rahaa, johon hänellä ei ole oikeutta.
Tarkkaa teknistä vikaa ei ole vahvistettu. Merkit viittaavat siihen, että protokolla ei tarkistanut talletuksia eikä varmentanut niitä kryptografisia todisteita, joille sen koko yksityisyysrakenne nojaa. Näin hyökkääjä pystyi nostamaan älysopimuksen hallussa ollutta USDC:tä yhä uudelleen.
Kaava on tuttu. Kun älysopimus luottaa tarkistukseen, jota se ei todellisuudessa tee, hyökkääjä voi toistaa saman kutsun niin kauan kuin kassa riittää.
Todistaako vuoto, että hajautettu rahoitus on pohjimmiltaan rikki? Ei todista. Vika oli koodissa, ei mallissa.
Yksittäisen älysopimuksen koodivirhe on hajautetun rahoituksen (DeFi) sitkeimpiä riskiluokkia, eikä se ole sama asia kuin virhe itse ajatuksessa.
Vuosi 2026: enemmän iskuja, vähemmän rahaa
Hinkalin tapaus ei jää tänä vuonna yksin. Kesäkuun 20. päivänä Jaredfromsubway.eth-niminen MEV-botti vietiin harhaan, ja tappioita kertyi 7,5 miljoonaa dollaria. Toisessa iskussa hyökkääjä käytti pikalainaa (flash loan) vääristääkseen wrapped xStocks -tuotteen vaihtokurssia, mikä maksoi Edel Financelle noin 403 000 dollaria.
Onko krypto siis vaarallisempi kuin koskaan? Luvut antavat kaksijakoisen vastauksen.
Tietoturvayhtiö TRM Labsin mukaan alkuvuoden aikana kirjattiin 207 erillistä hakkerointia. DeFiLlaman keräämät luvut kertovat silti, että rahalliset tappiot jäivät 948,13 miljoonaan dollariin – alle puoleen siitä 2,3 miljardista dollarista, joka vietiin vuoden 2025 alkupuoliskolla.
TRM Labsin mukaan hyökkäysten määrä on ennätystasolla, mutta DeFiLlaman keräämien lukujen mukaan rahalliset tappiot jäivät alle miljardiin dollariin.
Iskujen tiheys siis kasvaa ja dollarimääräiset menetykset laskevat. Isoimmat protokollat ovat oppineet suojaamaan itseään, ja hyökkääjät osuvat yhä useammin pieniin kohteisiin.
Hinkalin kaltaiset tapaukset muistuttavat, että jokainen uusi älysopimus on myös uusi hyökkäyspinta. Jää nähtäväksi, kuinka moni tämän vuoden vioista olisi ollut ihan vältettävissä huolellisemmalla koodikatselmoinnilla.









