Last Updated on 2026年7月9日 by Co-Founder/ Researcher
2026年7月3日(日本時間、UTCでは7月2日)、ゼロ知識証明ベースのプライバシープロトコルHinkalが攻撃を受け、約80万〜82万ドル相当のUSDCが流出した。
攻撃者はEthereum上の中核コントラクトに対し、「証明なし入金(Proofless Deposit)」の脆弱性を突いたうえで複数回の「Transact」呼び出しを実行し、標準的な証明検証メカニズムを回避したとされる。不審な取引はCertiK Alertが検知した。流出資金のうち約410ETH(当時約70万ドル相当)はTornado Cashへ、44.7ETHはTHORChain経由でBitcoinへ移された。攻撃者アドレスは0xbB3f01a1b1C68F3DEB36C55342b5F5706c32fc20、影響を受けたコントラクトは0x25e5e82f5702A27C3466fE68f14abDbbAdFca826である。DefiLlamaによれば、攻撃時点のHinkalのTVLは約82万9000ドルであった。Hinkalは複数の監査を受け、Hinkal公式によれば累計5億ドル超の秘匿オンチェーン取引実績を持ち、約550万ドル(DefiLlama基準。Hinkal公式表記では約600万ドル)を調達していた。
From: Hinkal Privacy Protocol Exploited for Approximately $820,000 in USDC
【編集部解説】
今回の事件を読み解く鍵は、「プライバシーを守るはずのプロトコルが、その入り口の検証で足をすくわれた」という一点にあります。Hinkalはゼロ知識証明を用い、取引の中身を隠しながらも決済の正当性を数学的に証明する仕組みを掲げていました。ここで重要なのは、破られたのはゼロ知識証明という暗号技術そのものではなく、その手前にあるコントラクトの検証ロジックだった、という点です。攻撃者は初期分析によれば、本来必要な証明を提出せずに入金する「証明なし入金(prooflessDeposit)」の穴を突き、続けてtransact関数を繰り返し呼び出して資金を引き出したとされます。
規模だけを見れば約80万ドル台と、DeFi史に残るような大型流出ではありません。しかしこの事件が業界で広く共有されている理由は、金額ではなく比率にあります。DefiLlamaによれば攻撃時点のHinkalのTVLは約82万9000ドルで、盗まれた額はそのほぼ全額に相当します。つまり預けていた資産が事実上すべて消えたに等しく、「小さな事故」ではなく「一つの金庫が空になった」出来事なのです。
数字の扱いには注意が必要です。被害額はCertiKが当初「80万ドル超」と発表し、その後PeckShieldがオンチェーン調査者Specterの分析をもとに約82万ドルと精査しました。さらに後続のHinkal側の説明では約79万7000ドルという数字も示されています。一部メディアは約83万ドルと報じていますが、これはTVL(約82万9000ドル)と被害額を混同したか、概算・推定の差による可能性があります。Crypto Verseでは、確定した正式報告が出るまで、被害額を「約80万〜82万ドル規模」と幅を持たせて扱います。
資金洗浄の手口も、この事件を象徴しています。攻撃者は盗んだUSDCをETHに換え、410ETH(約70万ドル)をミキサーのTornado Cashへ送りました。さらに44.67ETH(元記事表記では約44.7ETH)をTHORChain経由でBitcoinへ橋渡ししています。ここに皮肉があります。Hinkalは入金時にChainalysisのKYT(取引監視)を導入し、コンプライアンスに配慮した匿名化を掲げる存在でした。その守りをすり抜けた資金が、匿名化の代名詞ともいえるTornado Cashへ流れ込んだのです。なお、Tornado Cash自体は2022年に米財務省OFACの制裁対象となりましたが、2024年11月の連邦控訴審(第5巡回区)判決を受け、2025年3月21日に制裁リストから削除されています。現時点では制裁対象ではない点を補足しておきます。
被害者は誰か、という点も見過ごせません。Hinkalは事件の前日、ウォレット基盤企業Turnkeyとの提携を発表し、5月にはPolygonウォレット上で秘匿ステーブルコイン送金を稼働させたばかりでした。機関投資家向けの決済を狙う矢先の出来事です。失われた資金がプロトコル自身のものか、統合先か、エンドユーザーのものかは当初不明でしたが、その後Hinkalは影響を受けたユーザーへの1対1の補償方針を示したと報じられています。
Hinkalの初動対応も記しておくべきでしょう。同社は事件当日にX上で声明を出し、被害はEthereum上の単一コントラクトに限定され、他チェーンへの展開は無事だと説明しました。予防措置として全コントラクトを一時停止し、外部専門家と協力して根本原因を特定中で、米当局への報告も済ませたとしています。沈黙する運営という当初の見立てとは異なり、少なくとも初動の情報開示は行われていた点は公平に記しておきます。
この事件が投げかける問いは、DeFi全体に及びます。Hinkalは複数の監査を受けていました。それでも穴は残った——監査は出発点であって保証ではない、という現実です。変更できないこと(イミュータブル)を強みとするスマートコントラクトでは、一度埋め込まれた欠陥もまたコードに固定されやすいという性質があります。今後は「一度監査して終わり」ではなく、稼働後のリアルタイム検証や異常検知、そして即時停止できる設計が、信頼の前提条件になっていくでしょう。
規制の観点でも、ミキサーやクロスチェーンブリッジを介した資金洗浄は重い意味を持ちます。プライバシー技術そのものは中立ですが、それが犯罪収益の逃走経路になった瞬間、規制当局の視線は一段と厳しくなります。Tornado Cashの制裁が解除された今も、米財務省はミキサーを通じた資金洗浄リスクへの警戒を続けています。「匿名性」と「説明責任」をどう両立させるか——Hinkalが挑もうとしていたこの難題は、皮肉にも今回の事件によって、業界全体の宿題として改めて突きつけられたと言えます。
【用語解説】
ゼロ知識証明(zero-knowledge proof / zkSNARK)
ある事実が正しいことを、その中身を明かさずに証明する暗号技術だ。Hinkalの場合、「取引に必要な残高を持っている」ことだけを証明し、実際の残高や送金先は隠す。なお今回破られたのはこの暗号技術そのものではなく、その証明を確認するコントラクト側の検証ロジックだったとされる。
プライバシープロトコル
ブロックチェーン上の取引で、通常は公開されるウォレットアドレス・残高・取引履歴を秘匿する仕組みの総称。公開台帳の透明性と、利用者のプライバシーという相反する要求を両立させようとする分野。
証明なし入金(Proofless Deposit / prooflessDeposit)
本来必要な暗号学的証明を伴わずに資金を預け入れる操作を指す。CertiKなどのセキュリティ企業が用いた呼称で、攻撃者はこの検証の抜け穴を突いたとされる。
transact(トランザクト)呼び出し
Hinkalのコントラクトが持つ、資金移動を実行する関数。攻撃者はこれを短時間に何度も繰り返し呼び出し、資金を引き出したとされる。一部調査では、1分足らずの間に2万5000USDCの引き出しが少なくとも14回実行されたと報告されている。
USDC(USD Coin)
米ドルに価値を連動させたステーブルコインの一つ。発行元はCircle社。今回盗まれた主要資産であり、発行元が特定アドレスを凍結できる点が、資金洗浄手口の背景として重要となる。
TVL(Total Value Locked/預け入れ資産総額)
そのプロトコルに預けられている資産の総額を示す指標。規模や信頼度の目安となる。Hinkalの攻撃時点のTVLは約82万9000ドルで、被害額がほぼ全額に及んだことを示す基準値。
ミキサー(Mixer)
複数の資金を混ぜ合わせ、送金元と送金先のつながりを断つサービス。今回使われたTornado Cashはその代表格だ。2022年に米財務省OFACの制裁対象となったが、2025年3月に制裁リストから削除された。
クロスチェーンブリッジ
異なるブロックチェーン間で資産を移動させる仕組み。攻撃者はTHORChainを使いETHをBitcoinへ移し、Ethereum圏の追跡・凍結ツールの手が届かない領域へ資金を逃した。
KYT(Know Your Transaction)
取引そのものを監視し、不正な資金の流入を検知・遮断するコンプライアンス手法。Hinkalは入金レイヤーでChainalysisのKYTを導入し、制裁対象ウォレットの参入を防ぐ設計を掲げていた。
ポストモーテム(Post-mortem)
インシデント後に原因・経緯・対策を検証し公表する事後報告のこと。DeFiでは、これを迅速かつ透明に行えるかが信頼回復の分かれ目となる。
【参考リンク】
Hinkal(公式サイト)(外部)
攻撃を受けたプライバシープロトコルの公式サイト。ステーブルコイン向けの秘匿決済を軸に、API・SDK・WaaSなど3つの製品群を提供している。
CertiK(外部)
ブロックチェーンセキュリティ企業。今回の不審な取引を最初に検知・警告した。監査およびオンチェーン監視サービスを手がける。
PeckShield(外部)
ブロックチェーンセキュリティ企業。オンチェーン調査者Specterの分析をもとに、被害額を約82万ドルと精査した。
DefiLlama(外部)
DeFiプロトコルのTVLや資金調達状況を集計する分析プラットフォーム。本件のTVLや調達額の出典元となっている。
Tornado Cash(外部)
Ethereum上の代表的なミキサー。今回の資金洗浄経路として使われた。2025年3月に米OFACの制裁リストから削除された。
THORChain(外部)
異なるチェーン間で資産を交換できる分散型クロスチェーンプロトコル。攻撃者がETHをBitcoinへ移す際に利用した。
Circle(USDC発行元)(外部)
ステーブルコインUSDCの発行企業。特定アドレスの凍結権限を持ち、資金洗浄対策の観点から本件に関わる。
【参考記事】
Hinkal privacy protocol exploited for $820,000(Cryptopolitan)(外部)
被害額約82万ドルとTVL約82万9000ドルで「ほぼ全額流出」を明示。資金洗浄経路や調達額550万ドル、Turnkey提携を報じた記事。
Hinkal privacy protocol exploited for $820,000(Bitget News)(外部)
攻撃者アドレスと手口をCertiK分析で解説。競合プロトコルのTVLを示し、Hinkalが規模最下位圏だったことを数値で提示した記事。
Hinkal Protocol Exploited: $820K Laundered(Crypto Times)(外部)
1分未満で14回超の自動引き出し、合計454ETH超の資金移動、複数社の警告経緯を最も詳細に追った記事。
Hinkal Protocol Reveals Initial Cause(Crypto Times)(外部)
Hinkal公式の初期声明を報道。被害はEthereum単一コントラクトに限定、全停止、米当局へ報告済みという続報の出典。
How Hinkal’s smart contract flaw sparked $820K exploit(AMBCrypto)(外部)
過去6か月で207件・約9億4813万ドルの被害という業界全体の数値で、2026年の攻撃増加を文脈化した記事。
Tornado Cash Delisting(U.S. Department of the Treasury)(外部)
米財務省が2025年3月21日にTornado Cashを制裁リストから削除したことを発表した公式リリース。本記事の制裁状況の裏付け。
【Crypto Verse関連記事】
本記事のHinkal約82万ドル流出・「証明なし入金」脆弱性・transact関数複数回呼び出し・Tornado Cash/THORChain経由の資金洗浄・TVLほぼ全額流出・KYT導入プロトコルの皮肉・「監査は出発点」議論の構造的背景をより深く理解するための、Crypto Verseの関連解説記事をご案内します。
セキュリティ・スマートコントラクト脆弱性・DeFi流出
- アライドアーキテクツ × Nyx Foundation、AIがDeFiの安全を”検算”する時代へ → 本記事の「監査は出発点であって保証ではない」議論と直接連動する、稼働後のリアルタイム検証・異常検知の動向。「監査済み」の限界を補うAI×形式検証の実装事例を理解できます。
- Hola Browser にクリプトマイナー混入、Sophos が発見—サプライチェーン侵害の手口とは → 本記事のコントラクト検証層の脆弱性と並ぶ、ソフトウェア配信経路の汚染事例。「コード外」で発生するリスクを別領域で理解できます。
- XRP・偽リップル支払いNFT詐欺の手口とは?署名1回で1万5000ドル流出、被害を防ぐ5つの視点 → 本記事のプロトコル層脆弱性と並ぶ、エンドユーザー層(署名詐欺)での流出事例。「プロトコル」「ウォレット署名」両軸での被害構造を理解できます。
- FBI被害113億ドル受け、米議会がクリプト犯罪対策の連邦タスクフォース新設法案を提出 → 本記事のTornado Cash資金洗浄・被害者保護論点と並走する、米国側の被害者保護動向。
プライバシー・ゼロ知識証明(ZKP)
- Ethereum「Lean Ethereum」始動—ブテリンが量子耐性・プライバシー・拡張性を最優先に → 本記事のプライバシープロトコル動向と直接関連する、Ethereum本体側のプライバシー最優先ロードマップ。「基盤チェーン」「プライバシープロトコル」両軸でのプライバシー動向を理解できます。
- Worldcoin(WLD)とは?AI時代の「本人性証明」と独自のデジタルIDインフラ構造【2026年版】 → 本記事のゼロ知識証明技術と並ぶ、ZKP採用の別領域(本人性証明)動向。「取引を秘匿するZKP」「身分を秘匿するZKP」の両軸での実装事例を理解できます。
- Worldcoin(WLD)はヘイズなしで価格を保てるか—AI時代の身分証トークンを読む → 本記事のプライバシープロトコル動向と並ぶ、ZK技術採用プロジェクトの市場動向事例。
ステーブルコイン・USDC決済インフラ
- Cloudflare「Monetization Gateway」―x402・ステーブルコインでリクエストを取引に → 本記事のUSDC流出事案と並走する、USDC決済インフラの拡大動向。「実需拡大」「セキュリティリスク」両軸で進むステーブルコインの実態を理解できます。
- Polygon、ステーブルコイン送金で全チェーン首位に—取引件数でSolana・BNB Chainを抜いた「決済レイヤー」戦略 → 本記事のPolygonウォレット統合と直接関連する、Polygonエコシステムのステーブルコイン送金動向。
- Coinbase、ステーブルコイン決済の課税撤廃を米議会に要請 ― 暗号資産税制改革の行方 → 本記事のUSDC流出事案と並ぶ、米国のステーブルコイン税制動向。
- ステーブルコインとトークン化で家計は軽くなる?米上院公聴会、賛否とCLARITY Actの行方 → 本記事のプライバシー×説明責任議論と並ぶ、米国のステーブルコイン・トークン化議論動向。
- Ripple、XRPとRLUSDでAIエージェント決済へ参入─USDCが席巻するx402市場に挑む → 本記事のUSDC流出事案と並ぶ、ステーブルコイン市場の競争動向。
- Visa×OpenAIが拓くAIエージェント決済|Visaのステーブルコイン決済は年換算70億ドル規模に → 本記事のUSDC決済インフラと並ぶ、ステーブルコイン決済の実需動向。
- JPYSC始動―SBI・Startaleが国内初の信託型円ステーブルコインを発行 → 本記事のUSDC流出事案と並ぶ、日本での円建てステーブルコイン制度整備動向。
- SBI VCトレード×リップル―「RLUSD」が国内初の「4号電子決済手段」として取扱い開始 → 本記事のUSDC流出事案と並ぶ、日本でのドル建てステーブルコイン導入動向。
- AllUnity×Zebec、EURAUによる従業員福利厚生・法人決済をStellarで開始─MiCAR準拠ステーブルコインが実用フェーズへ → 本記事のUSDC決済動向と並ぶ、欧州MiCAR準拠ステーブルコインの実用事例。
- CBETS始動と中国人民銀行のステーブルコイン警戒—デジタル人民元 vs ドルの「通貨OS」争いが本格化 → 本記事の民間ステーブルコイン動向と並ぶ、国家主導型決済網動向。
- Tether Gold(XAU₮)がLedn上陸、230億ドルの金が暗号資産担保ローンに → 本記事のUSDC流出事案と並ぶ、実物資産トークン化の実装事例。
Ripple/XRPL関連・レンディング動向
- Ripple、XRPL「AI Starter Kit」でAIエージェント決済へ──x402対応とGenAI人材募集の狙い → 本記事のUSDC実需動向と並ぶ、別チェーン(XRPL)での決済動向。
- RLUSDに利回り活用の道─SOILとXRPL Lending Protocolが拓くXRPLネイティブ融資 → 本記事のプロトコル脆弱性と並ぶ、別のオンチェーン金融プロトコル動向。
Robinhood Chain・オンチェーン金融
- Robinhood Chainがメインネット始動|Chainlinkが支える新金融 → 本記事のオンチェーン金融プロトコル動向と並ぶ、消費者向け金融プラットフォームのオンチェーン化動向。
日本市場・実装事例・実証実験
- 大阪府の補助金公募開始|ブロックチェーン・AI金融の実証実験を最大1000万円支援 → 本記事の「監査は出発点」議論と並走する、日本での実証実験支援動向。「実装」「検証」両軸での支援制度を理解できます。
- SBI、ビットバンクを467億円で完全子会社化─暗号資産の預かり資産で国内首位へ → 本記事のセキュリティ論点と並ぶ、日本の暗号資産業界統合動向。
- bitFlyer SOL上場の本当の意味─Solanaに集まる日本企業と金融商品取引法改正 → 本記事のセキュリティ動向と並ぶ、日本市場での銘柄追加・制度整備動向。
- HyperLending、日本初HYPE対応の暗号資産レンディング開始 → 本記事のプロトコルセキュリティと並ぶ、日本市場でのレンディングサービス動向。
- SecondFi始動|「鍵は自分のまま」EMURGOが挑む、暗号資産で使う・貯める・稼ぐ時代 → 本記事の集中プロトコル脆弱性と対極にある、自己管理型サービスの実装事例。
- メタプラネット、Siiibo証券を21億円で買収—ビットコイン連動金融商品「Project Nova」始動 → 本記事のオンチェーン金融動向と並ぶ、日本企業による金融商品化動向。
- enishがビットコイン全売却、Solana中心の「DAT 2.0」へ転換|運用型トレジャリーの狙い → 本記事のオンチェーン金融セキュリティ議論と並ぶ、日本企業の運用型トレジャリー動向。
- 日鉄ソリューションズとN.Avenue、円建て暗号資産インデックス報告書を公表 → 本記事のセキュリティ論点と並ぶ、日本市場でのインデックス整備動向。
RWA・トークン化資産
- SpaceX・Solanaが変える株式投資|3つのトークン化商品、その仕組みとリスク → 本記事のプロトコル脆弱性と並ぶ、株式トークン化のリスク実装事例。
- Moody’s×Solana×AlphaLedger:信用格付けがトークンに直接埋め込まれる時代へ。TIEがメインネット稼働 → 本記事のセキュリティ論点と並ぶ、信用格付けインフラのオンチェーン化動向。
- XRP Ledger vs Ethereum、RWA資本移動説の真相─未検証の15億ドルをどう読むか → 本記事の「数字の扱いには注意が必要」FACT検証アプローチと共通する、RWA資本フロー検証手法。
機関投資家・企業のBTC/暗号資産戦略
- Strategy優先株「STRC」急落と、ビットコインの底値サインについて読み解く → 本記事のプロトコル動向と並ぶ、企業のBTC戦略動向。
- Strategy「mNAV」1割れ、セイラー氏が新規ビットコイン購入を示唆—逆回転するフライホイールの行方 → 本記事のセキュリティ論点と並ぶ、暗号資産市場動向。
- Strategy、マイケル・セイラーの「ドット」投稿が新たなビットコイン購入観測を再燃させる → 本記事のセキュリティ論点と並ぶ、企業のBTC戦略動向。
- Ethereum下落でも買い続ける機関投資家─ロバート・キヨサキ「9万5000ドル」予測再燃の裏側 → 本記事のEthereumセキュリティ論点と並ぶ、Ethereum機関投資家動向。
- Morgan Stanley、ステーキングETF参戦|イーサリアム・ソラナで報酬95%を投資家へ → 本記事のセキュリティ動向と並ぶ、機関投資家のオンチェーン参入動向。
- ビットコイン6万2000ドル割れ、Strategy 32BTC売却が招いた18億ドル清算の連鎖 → 本記事のセキュリティ論点と並ぶ、暗号資産市場全体の動向。
- ビットコインETF、過去最長13日の純流出。約43億ドルが抜けた背景とETFが「限界的な買い手」になった構造変化 → 本記事のセキュリティ動向と並ぶ、機関マネー動向。
- ビットコイン7万ドル回復なるか、スカラムッチ・ノボグラッツが挙げるCLARITY法案・債務・SpaceX → 本記事のセキュリティ動向と並ぶ、市場心理動向。
米国規制動向
- CLARITY Act、Coinbase・Rippleら200社超が上院に採決要求─成立確率60%に低下 → 本記事のセキュリティ・被害者保護論点と並ぶ、米国側の規制整備動向。
アジア圏動向
- 韓国、債務救済に暗号資産を組み込み—KAMCO が残高証明書で資産審査、返済能力で減免率を調整へ → 本記事のセキュリティ動向と並ぶ、暗号資産の制度組込動向。
AI×Web3・自律エージェント動向
- Claude Codeに「Solana AI Kit」登場―Solana開発を一括構築 → 本記事の「一度監査して終わりではない」議論と関連する、AI開発支援エコシステム動向。
- OpenAI「GPT-5.6」を限定公開にした理由—命名騒動と米政府の要請 → 本記事のセキュリティ動向と並ぶ、AI業界の政府介入動向。
基盤チェーン解説
- Solanaとは?高速・低コストのブロックチェーンの仕組みと特徴を徹底解説 → 本記事のEthereum L1動向と並ぶ、別の主要ブロックチェーンの構造解説。
- XRP Ledger(XRPL)とは?分散型ブロックチェーンの仕組みと特徴を徹底解説 → 本記事のEthereum動向と並ぶ、機関金融向けブロックチェーンの構造解説。
- Hyperliquidとは?HYPE基盤のレイヤー1ブロックチェーンとオンチェーンCLOBアーキテクチャの完全解剖 → 本記事のEthereumセキュリティ論点と並ぶ、レイヤー1ブロックチェーンの構造解説。
決済プラットフォーム動向
- X Money決済とは?イーロン・マスクが描く「総合金融プラットフォーム」の正体 → 本記事のプロトコル動向と並ぶ、別経路(プラットフォーマー主導)での金融プラットフォーム構想。
【編集部後記】
「隠す」ことと「守る」ことは、似ているようで別の営みなのだと、今回の取材を通じて改めて感じました。Hinkalが挑もうとしていた「コンプライアンスに則った匿名性」という理想は、決して否定されるべきものではありません。むしろ、公開台帳のうえで個人や機関のプライバシーをどう確保するかは、これからの金融インフラが避けて通れない問いです。
だからこそ、その理想を支える土台——地味で、報われにくく、しかし決定的に重要な「検証ロジックの堅牢さ」に、私たちはもっと目を向けたいと思います。技術の輝きは、それを支える見えない部分の強さに宿る。次にこの分野の明るいニュースをお届けできる日を楽しみに、Crypto Verseは動向を追い続けます。
——————–
※本記事は情報提供を目的としており、投資助言ではありません。
詳細は当サイトの免責事項をご確認ください。
——————–

