2026年7月3日(日本時間、UTCでは7月2日)、ゼロ知識証明ベースのプライバシープロトコルHinkalが攻撃を受け、約80万〜82万ドル相当のUSDCが流出した。
攻撃者はEthereum上の中核コントラクトに対し、「証明なし入金(Proofless Deposit)」の脆弱性を突いたうえで複数回の「Transact」呼び出しを実行し、標準的な証明検証メカニズムを回避したとされる。不審な取引はCertiK Alertが検知した。流出資金のうち約410ETH(当時約70万ドル相当)はTornado Cashへ、44.7ETHはTHORChain経由でBitcoinへ移された。攻撃者アドレスは0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20、影響を受けたコントラクトは0x25e5e82f5702A27C3466fE68f14abDbbAdFca826である。DefiLlamaによれば、攻撃時点のHinkalのTVLは約82万9000ドルであった。Hinkalは複数の監査を受け、Hinkal公式によれば累計5億ドル超の秘匿オンチェーン取引実績を持ち、約550万ドル(DefiLlama基準。Hinkal公式表記では約600万ドル)を調達していた。
From: Hinkal Privacy Protocol Exploited for Approximately $820,000 in USDC
【編集部解説】
今回の事件を読み解く鍵は、「プライバシーを守るはずのプロトコルが、その入り口の検証で足をすくわれた」という一点にあります。Hinkalはゼロ知識証明を用い、取引の中身を隠しながらも決済の正当性を数学的に証明する仕組みを掲げていました。ここで重要なのは、破られたのはゼロ知識証明という暗号技術そのものではなく、その手前にあるコントラクトの検証ロジックだった、という点です。攻撃者は初期分析によれば、本来必要な証明を提出せずに入金する「証明なし入金(prooflessDeposit)」の穴を突き、続けてtransact関数を繰り返し呼び出して資金を引き出したとされます。
規模だけを見れば約80万ドル台と、DeFi史に残るような大型流出ではありません。しかしこの事件が業界で広く共有されている理由は、金額ではなく比率にあります。DefiLlamaによれば攻撃時点のHinkalのTVLは約82万9000ドルで、盗まれた額はそのほぼ全額に相当します。つまり預けていた資産が事実上すべて消えたに等しく、「小さな事故」ではなく「一つの金庫が空になった」出来事なのです。
数字の扱いには注意が必要です。被害額はCertiKが当初「80万ドル超」と発表し、その後PeckShieldがオンチェーン調査者Specterの分析をもとに約82万ドルと精査しました。さらに後続のHinkal側の説明では約79万7000ドルという数字も示されています。一部メディアは約83万ドルと報じていますが、これはTVL(約82万9000ドル)と被害額を混同したか、概算・推定の差による可能性があります。innovaTopiaでは、確定した正式報告が出るまで、被害額を「約80万〜82万ドル規模」と幅を持たせて扱います。
資金洗浄の手口も、この事件を象徴しています。攻撃者は盗んだUSDCをETHに換え、410ETH(約70万ドル)をミキサーのTornado Cashへ送りました。さらに44.67ETH(元記事表記では約44.7ETH)をTHORChain経由でBitcoinへ橋渡ししています。ここに皮肉があります。Hinkalは入金時にChainalysisのKYT(取引監視)を導入し、コンプライアンスに配慮した匿名化を掲げる存在でした。その守りをすり抜けた資金が、匿名化の代名詞ともいえるTornado Cashへ流れ込んだのです。なお、Tornado Cash自体は2022年に米財務省OFACの制裁対象となりましたが、2024年11月の連邦控訴審(第5巡回区)判決を受け、2025年3月21日に制裁リストから削除されています。現時点では制裁対象ではない点を補足しておきます。
被害者は誰か、という点も見過ごせません。Hinkalは事件の前日、ウォレット基盤企業Turnkeyとの提携を発表し、5月にはPolygonウォレット上で秘匿ステーブルコイン送金を稼働させたばかりでした。機関投資家向けの決済を狙う矢先の出来事です。失われた資金がプロトコル自身のものか、統合先か、エンドユーザーのものかは当初不明でしたが、その後Hinkalは影響を受けたユーザーへの1対1の補償方針を示したと報じられています。
Hinkalの初動対応も記しておくべきでしょう。同社は事件当日にX上で声明を出し、被害はEthereum上の単一コントラクトに限定され、他チェーンへの展開は無事だと説明しました。予防措置として全コントラクトを一時停止し、外部専門家と協力して根本原因を特定中で、米当局への報告も済ませたとしています。沈黙する運営という当初の見立てとは異なり、少なくとも初動の情報開示は行われていた点は公平に記しておきます。
この事件が投げかける問いは、DeFi全体に及びます。Hinkalは複数の監査を受けていました。それでも穴は残った——監査は出発点であって保証ではない、という現実です。変更できないこと(イミュータブル)を強みとするスマートコントラクトでは、一度埋め込まれた欠陥もまたコードに固定されやすいという性質があります。今後は「一度監査して終わり」ではなく、稼働後のリアルタイム検証や異常検知、そして即時停止できる設計が、信頼の前提条件になっていくでしょう。
規制の観点でも、ミキサーやクロスチェーンブリッジを介した資金洗浄は重い意味を持ちます。プライバシー技術そのものは中立ですが、それが犯罪収益の逃走経路になった瞬間、規制当局の視線は一段と厳しくなります。Tornado Cashの制裁が解除された今も、米財務省はミキサーを通じた資金洗浄リスクへの警戒を続けています。「匿名性」と「説明責任」をどう両立させるか——Hinkalが挑もうとしていたこの難題は、皮肉にも今回の事件によって、業界全体の宿題として改めて突きつけられたと言えます。
【用語解説】
ゼロ知識証明(zero-knowledge proof / zkSNARK)
ある事実が正しいことを、その中身を明かさずに証明する暗号技術だ。Hinkalの場合、「取引に必要な残高を持っている」ことだけを証明し、実際の残高や送金先は隠す。なお今回破られたのはこの暗号技術そのものではなく、その証明を確認するコントラクト側の検証ロジックだったとされる。
プライバシープロトコル
ブロックチェーン上の取引で、通常は公開されるウォレットアドレス・残高・取引履歴を秘匿する仕組みの総称。公開台帳の透明性と、利用者のプライバシーという相反する要求を両立させようとする分野だ。
証明なし入金(Proofless Deposit / prooflessDeposit)
本来必要な暗号学的証明を伴わずに資金を預け入れる操作を指す。CertiKなどのセキュリティ企業が用いた呼称で、攻撃者はこの検証の抜け穴を突いたとされる。
transact(トランザクト)呼び出し
Hinkalのコントラクトが持つ、資金移動を実行する関数。攻撃者はこれを短時間に何度も繰り返し呼び出し、資金を引き出したとされる。一部調査では、1分足らずの間に2万5000USDCの引き出しが少なくとも14回実行されたと報告されている。
USDC(USD Coin)
米ドルに価値を連動させたステーブルコインの一つ。発行元はCircle社。今回盗まれた主要資産であり、発行元が特定アドレスを凍結できる点が、資金洗浄手口の背景として重要となる。
TVL(Total Value Locked/預け入れ資産総額)
そのプロトコルに預けられている資産の総額を示す指標。規模や信頼度の目安となる。Hinkalの攻撃時点のTVLは約82万9000ドルで、被害額がほぼ全額に及んだことを示す基準値だ。
ミキサー(Mixer)
複数の資金を混ぜ合わせ、送金元と送金先のつながりを断つサービス。今回使われたTornado Cashはその代表格だ。2022年に米財務省OFACの制裁対象となったが、2025年3月に制裁リストから削除された。
クロスチェーンブリッジ
異なるブロックチェーン間で資産を移動させる仕組み。攻撃者はTHORChainを使いETHをBitcoinへ移し、Ethereum圏の追跡・凍結ツールの手が届かない領域へ資金を逃した。
KYT(Know Your Transaction)
取引そのものを監視し、不正な資金の流入を検知・遮断するコンプライアンス手法。Hinkalは入金レイヤーでChainalysisのKYTを導入し、制裁対象ウォレットの参入を防ぐ設計を掲げていた。
ポストモーテム(Post-mortem)
インシデント後に原因・経緯・対策を検証し公表する事後報告のこと。DeFiでは、これを迅速かつ透明に行えるかが信頼回復の分かれ目となる。
【参考リンク】
Hinkal(公式サイト)(外部)
攻撃を受けたプライバシープロトコルの公式サイト。ステーブルコイン向けの秘匿決済を軸に、API・SDK・WaaSなど3つの製品群を提供している。
CertiK(外部)
ブロックチェーンセキュリティ企業。今回の不審な取引を最初に検知・警告した。監査およびオンチェーン監視サービスを手がける。
PeckShield(外部)
ブロックチェーンセキュリティ企業。オンチェーン調査者Specterの分析をもとに、被害額を約82万ドルと精査した。
DefiLlama(外部)
DeFiプロトコルのTVLや資金調達状況を集計する分析プラットフォーム。本件のTVLや調達額の出典元となっている。
Tornado Cash(外部)
Ethereum上の代表的なミキサー。今回の資金洗浄経路として使われた。2025年3月に米OFACの制裁リストから削除された。
THORChain(外部)
異なるチェーン間で資産を交換できる分散型クロスチェーンプロトコル。攻撃者がETHをBitcoinへ移す際に利用した。
Circle(USDC発行元)(外部)
ステーブルコインUSDCの発行企業。特定アドレスの凍結権限を持ち、資金洗浄対策の観点から本件に関わる。
【参考記事】
Hinkal privacy protocol exploited for $820,000(Cryptopolitan)(外部)
被害額約82万ドルとTVL約82万9000ドルで「ほぼ全額流出」を明示。資金洗浄経路や調達額550万ドル、Turnkey提携を報じた記事。
Hinkal privacy protocol exploited for $820,000(Bitget News)(外部)
攻撃者アドレスと手口をCertiK分析で解説。競合プロトコルのTVLを示し、Hinkalが規模最下位圏だったことを数値で提示した記事。
Hinkal Protocol Exploited: $820K Laundered(Crypto Times)(外部)
1分未満で14回超の自動引き出し、合計454ETH超の資金移動、複数社の警告経緯を最も詳細に追った記事。
Hinkal Protocol Reveals Initial Cause(Crypto Times)(外部)
Hinkal公式の初期声明を報道。被害はEthereum単一コントラクトに限定、全停止、米当局へ報告済みという続報の出典。
How Hinkal’s smart contract flaw sparked $820K exploit(AMBCrypto)(外部)
過去6か月で207件・約9億4813万ドルの被害という業界全体の数値で、2026年の攻撃増加を文脈化した記事。
Tornado Cash Delisting(U.S. Department of the Treasury)(外部)
米財務省が2025年3月21日にTornado Cashを制裁リストから削除したことを発表した公式リリース。本記事の制裁状況の裏付け。
【編集部後記】
「隠す」ことと「守る」ことは、似ているようで別の営みなのだと、今回の取材を通じて改めて感じました。Hinkalが挑もうとしていた「コンプライアンスに則った匿名性」という理想は、決して否定されるべきものではありません。むしろ、公開台帳のうえで個人や機関のプライバシーをどう確保するかは、これからの金融インフラが避けて通れない問いです。だからこそ、その理想を支える土台——地味で、報われにくく、しかし決定的に重要な「検証ロジックの堅牢さ」に、私たちはもっと目を向けたいと思います。技術の輝きは、それを支える見えない部分の強さに宿る。次にこの分野の明るいニュースをお届けできる日を楽しみに、innovaTopiaは動向を追い続けます。