19 травня 2026 року DeFi-протокол Echo Protocol позбувся $76,7 млн. Зловмисник відкарбував 1 000 синтетичних Bitcoin (eBTC) через скомпрометований адмін-ключ на блокчейні Monad. Смарт-контракт не мав вразливостей. Збій стався на рівні операційних процесів команди.
За даними PeckShield та Lookonchain, які зафіксували підозрілі транзакції протягом хвилин після атаки, зловмисник виконав кілька операцій відкарбування поспіль. Злам входить до трійки найбільших у секторі DeFi з початку 2026 року. Хакер досі утримує 955 eBTC вартістю близько $73 млн.
Як це сталося: адмін-ключ, а не вразливість коду
Echo Protocol розгорнуто на Monad, відносно новому EVM-сумісному L1-блокчейні з акцентом на паралельну обробку транзакцій. Протокол спеціалізується на ліквідності Bitcoin: агрегує BTC, надає послуги liquid staking, рестейкінгу та генерації дохідності для власників монет. eBTC є синтетичним активом, який дозволяє використовувати Bitcoin у DeFi без прямого продажу монет. Принцип подібний до wBTC, але реалізований у власній екосистемі Monad.
Розробник під ніком "Marioo" першим оприлюднив технічний аналіз. Він підтвердив, що контракт eBTC "спрацював точно так, як мав". Коду не існувало вразливостей. Зловмисник отримав доступ до ключа з правами адміністратора й скористався прогалинами в налаштуваннях протоколу.
Прогалин виявилося чотири. Роль адміністратора захищена одиночним підписом, мультипідпису немає. Критичні операції виконувались миттєво: timelock відсутній. Ліміту на відкарбування eBTC не існувало, як і rate limit. Curvance при цьому не перевіряв, чи підкріплене щойно внесене eBTC-забезпечення реальними активами. Разом ці вади дозволили відкарбувати 1 000 eBTC за кілька транзакцій без жодної автоматичної зупинки.
Схема відмивання: Curvance, Ethereum і Tornado Cash
Зловмисник не виводив кошти одним потоком. Спочатку задепонував 45 eBTC (приблизно $3,45 млн) у DeFi-протокол Curvance як заставу й позичив проти неї 11,3 wBTC на $868 тис. Потім перевів wBTC на блокчейн Ethereum, конвертував у ETH і відправив 384 ETH (близько $822 тис.) до міксера Tornado Cash.
Curvance самостійно виявив аномалію і призупинив ринок eBTC. Власні смарт-контракти платформи не скомпрометовані. Протокол став проміжною ланкою у схемі незалежно від власних рішень.
Основна частина коштів, а саме 955 eBTC вартістю близько $73 млн, досі перебуває на адресах зловмисника. Відмито близько 5% від загальної суми. Типова практика після великих зламів: хакери тримають основну частину тижнями, чекаючи, доки ончейн-відстеження стане менш активним.
П'ять вад конфігурації, що відкрили атаку
Атака не потребувала складного exploit-коду. Достатньо було скомпрометованого ключа й відсутності захисних бар'єрів. Кожна вада існувала незалежно, але разом вони усунули будь-яку автоматичну перешкоду для відкарбування токенів у довільній кількості.
Практика multisig і timelock стала стандартом більшості зрілих DeFi-протоколів після серії великих зламів у 2022-2023 роках. Мінімальна вимога для протоколів, що претендують на безпеку, передбачає конфігурацію 2-of-3 multisig для адмін-функцій і timelock від 24 до 72 годин для незворотних операцій. Timelock дає команді час виявити підозрілу транзакцію до її виконання. Echo Protocol обійшовся без обох захистів. Ціна цього рішення виявилась $76,7 млн.
Реакція Echo Protocol, Curvance та Monad
Echo Protocol призупинив усі кросчейн-транзакції та повідомив, що розслідування продовжується. Деталей щодо відшкодування постраждалим користувачам на момент публікації немає. Команда обіцяє оновлення через офіційні канали в міру розвитку ситуації.
Curvance заблокував ринок eBTC після виявлення аномалії. Протокол підтвердив відсутність компрометації власних контрактів. Блокування відбулось вже після того, як хакер провів операції через платформу.
Для Monad злам Echo Protocol став репутаційним тестом. Технічно мережа не постраждала. Співзасновник Keone Hon публічно підтвердив, що блокчейн "функціонує нормально". Але проект, який активно залучає протоколи до своєї екосистеми, отримав нагадування: безпека DeFi-застосунків і безпека L1-мережі це різні площини відповідальності. Розробники несуть власну відповідальність за операційну безпеку незалежно від того, на якому блокчейні вони будують.
DeFi у 2026: Echo Protocol далеко не перший
Echo Protocol не самотній у цій статистиці. За даними PeckShield, лише у травні 2026 зафіксовано щонайменше 12 зламів у секторі. Два найбільших за рік сталися раніше: Drift Protocol з $285 млн та Kelp DAO з $292 млн у квітні. За розміром втрат Echo Protocol посідає третє місце серед DeFi-атак поточного року.
Минулого тижня постраждали ще кілька проектів. Verus Protocol позбувся $11,6 млн через підроблені кросчейн-повідомлення. THORChain зупиняв торгівлю після підозрілих операцій на $10 млн. Transit Finance втратив $1,88 млн через застарілий смарт-контракт.
Характерна закономірність 2026 року: більшість атак більше не пов'язана з вразливостями коду. Зловмисники обирають слабкі точки управління, а саме ключі адміністраторів, застарілі контракти без оновлень, операційні помилки команд. Аудит смарт-контрактів перестав бути достатнім захистом. Протоколи мають додатково аудитувати операційні процеси, зберігання ключів та управлінські рішення. Echo Protocol підтверджує цю закономірність: кодова база була чистою, а $76,7 млн зникло.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *