Hinkal perde US$ 820 mil em exploit de USDC

O protocolo de privacidade para stablecoins Hinkal entrou na lista recente de incidentes de segurança do mercado cripto em 2026. Segundo os primeiros relatos, a plataforma sofreu um exploit que retirou indevidamente cerca de US$ 820 mil em USDC.

A apuração inicial aponta que o invasor explorou a função prooflessDeposit() e, em seguida, executou uma sequência de chamadas da função transact(). Dessa forma, ele conseguiu drenar recursos mantidos no contrato inteligente do protocolo. Ao mesmo tempo, os detalhes técnicos completos da falha ainda não haviam sido divulgados publicamente.

Exploit no protocolo de privacidade para stablecoins Hinkal
Origem: GoPlus Security no X.

Falha em contrato inteligente pressiona o protocolo

Embora a causa exata siga sem detalhamento público, a dinâmica do ataque sugere uma falha de validação na arquitetura do protocolo. Em outras palavras, a Hinkal pode não ter verificado corretamente depósitos ou provas criptográficas antes de liberar movimentações.

Esse ponto é central, porque protocolos de privacidade dependem dessa checagem para proteger os fundos em seus contratos. Na prática, a suspeita é que a brecha tenha permitido chamadas repetidas de transact(). Assim, o invasor retirou USDC bloqueado no contrato.

Além disso, o caso reforça um padrão conhecido nas finanças descentralizadas. Muitas perdas não surgem de uma falha conceitual do DeFi, mas de erros de implementação em smart contracts.

O episódio também mostra como vulnerabilidades de código seguem entre os riscos mais persistentes do setor. Mesmo quando a proposta técnica parece robusta, uma única falha lógica pode comprometer valores relevantes rapidamente. Nesse sentido, o incidente amplia a pressão por auditorias mais rígidas em protocolos de privacidade voltados a stablecoins.

Validação de provas segue como ponto crítico

Em protocolos desse tipo, a checagem de provas funciona como uma camada essencial de segurança. Portanto, qualquer erro nessa etapa pode abrir caminho para depósitos inválidos ou transações indevidas.

Ainda assim, até o momento, os relatos disponíveis convergem apenas sobre o suposto uso de prooflessDeposit() seguido de múltiplas execuções de transact(). Além do prejuízo imediato, o caso pode afetar a confiança em aplicações semelhantes.

Afinal, o mercado costuma reagir com cautela quando um protocolo de privacidade falha justamente na verificação que sustenta sua proposta técnica. Para quem acompanha infraestrutura DeFi, o episódio funciona como novo alerta operacional.

Exploits em 2026 sobem, mas valor total cai

O ataque contra a Hinkal ocorreu em um ambiente já marcado por forte pressão sobre a segurança do mercado de criptomoedas. Em 20 de junho, o bot de Maximal Extractable Value, ou MEV, Jaredfromsubway.eth também sofreu um exploit. Como resultado, o incidente gerou perdas de US$ 7,5 milhões.

Em outro caso recente, um hacker usou um flash loan para manipular a taxa de câmbio de wrapped xStocks. Por consequência, a ação provocou um exploit de aproximadamente US$ 403 mil contra a Edel Finance. Esses episódios mostram que vetores distintos seguem ativos, desde manipulação de preço até falhas em contratos inteligentes.

A TRM Labs registrou 207 hacks distintos nos últimos seis meses. Assim, o dado reforça a percepção de avanço expressivo nas ocorrências em 2026, embora o volume financeiro total tenha recuado na comparação anual.

Dados da DeFiLlama indicam perdas totais de US$ 948,13 milhões no período. Em contrapartida, o primeiro semestre de 2025 havia somado US$ 2,3 bilhões roubados. Ou seja, o número de ataques subiu, mas o impacto financeiro agregado ficou abaixo do observado anteriormente.

Total de hacks em 2026 aumenta
Origem: DeFiLlama.

Risco de implementação continua no centro do debate

No caso da Hinkal, os relatos apontam para uma drenagem de cerca de US$ 820 mil em USDC. As informações iniciais indicam que a operação usou a função prooflessDeposit(), seguida por diversas chamadas de transact().

Enquanto isso, o cenário mais amplo de 2026 mostra 207 hacks em seis meses e perdas totais de US$ 948,13 milhões. Portanto, o incidente reforça uma mensagem já conhecida no mercado cripto.

A segurança de smart contracts depende não apenas do desenho teórico do protocolo. Ela também exige execução precisa em cada etapa crítica. Sobretudo em projetos de privacidade, falhas de validação podem transformar uma camada de proteção em vetor direto de exploração.