19 мая 2026 года DeFi-протокол Echo Protocol лишился $76,7 млн. Злоумышленник начеканил 1 000 синтетических Bitcoin (eBTC) через скомпрометированный admin-ключ на блокчейне Monad. Смарт-контракт работал без ошибок. Брешь оказалась в операционной безопасности команды.
По данным PeckShield и Lookonchain, зафиксировавших подозрительные транзакции в течение нескольких минут после атаки, злоумышленник выполнил несколько операций чеканки подряд. Взлом входит в тройку крупнейших в секторе DeFi с начала 2026 года. Хакер по-прежнему удерживает 955 eBTC стоимостью около $73 млн.
Как это произошло: admin-ключ, не уязвимость кода
Echo Protocol развернут на Monad, относительно новом EVM-совместимом L1-блокчейне с упором на параллельную обработку транзакций. Протокол специализируется на ликвидности Bitcoin: агрегирует BTC, предоставляет услуги liquid staking, рестейкинга и генерации доходности. eBTC это синтетический актив, позволяющий использовать Bitcoin в DeFi без прямой продажи монет.
Разработчик "Marioo" первым опубликовал технический анализ. По его словам, контракт eBTC "сработал именно так, как должен был". Уязвимостей в коде не было. Злоумышленник получил доступ к ключу с правами администратора и воспользовался четырьмя прорехами в настройках.
Роль администратора защищена одиночной подписью без мультиподписи. Критические операции выполнялись мгновенно, timelock отсутствовал. Лимита на чеканку eBTC не было, как и rate limit. Curvance не проверял, подкреплено ли свежевнесенное eBTC-обеспечение реальными активами. Все четыре прорехи вместе убрали любое автоматическое препятствие для чеканки токенов в произвольном объеме.
Схема отмывания: Curvance, Ethereum и Tornado Cash
Злоумышленник не выводил средства единым потоком. Сначала задепонировал 45 eBTC ($3,45 млн) в Curvance в качестве залога и занял под него 11,3 wBTC на $868 тыс. Затем перевел wBTC на блокчейн Ethereum, конвертировал в ETH и отправил 384 ETH (около $822 тыс.) в миксер Tornado Cash.
Curvance самостоятельно обнаружил аномалию и приостановил рынок eBTC. Собственные смарт-контракты платформы не пострадали. Протокол стал промежуточным звеном в схеме отмывания независимо от собственных действий.
Основная часть средств, 955 eBTC стоимостью ~$73 млн, по-прежнему находится на адресах злоумышленника. Отмыто около 5% от общей суммы. Крупные взломщики обычно держат средства неделями, ожидая снижения активности ончейн-трекеров.
Пять уязвимостей конфигурации
Атака не требовала сложного exploit-кода. Хватило скомпрометированного ключа и отсутствия защитных барьеров. Каждая уязвимость существовала независимо, но вместе они убрали любое автоматическое препятствие для чеканки токенов в произвольном количестве.
Практика multisig и timelock стала стандартом для зрелых DeFi-протоколов после серии крупных взломов 2022-2023 годов. Минимальные требования: конфигурация 2-of-3 multisig для admin-функций и timelock от 24 до 72 часов для необратимых операций. Timelock дает команде время обнаружить подозрительную транзакцию до ее исполнения. Echo Protocol обошелся без обоих инструментов. Цена этого решения составила $76,7 млн.
Реакция Echo Protocol, Curvance и Monad
Echo Protocol приостановил все кросс-чейн транзакции и сообщил о продолжающемся расследовании. Деталей о компенсациях пострадавшим пользователям на момент публикации нет. Команда обещает обновления через официальные каналы.
Curvance заблокировал рынок eBTC после обнаружения аномалии. Собственные контракты протокола не скомпрометированы. Блокировка произошла уже после того, как хакер провел операции через платформу.
Для Monad взлом Echo Protocol стал репутационным тестом. Технически сеть не пострадала. Сооснователь Keone Hon публично подтвердил, что блокчейн "работает в штатном режиме". При этом молодой L1, активно привлекающий протоколы, получил напоминание: безопасность DeFi-приложений и безопасность базового блокчейна решаются отдельно.
DeFi в 2026: Echo Protocol не первый и не крупнейший
По данным PeckShield, только в мае 2026 зафиксировано не менее 12 взломов в секторе. Два крупнейших за год произошли раньше: Drift Protocol с $285 млн и Kelp DAO с $292 млн в апреле. По объему потерь Echo Protocol занимает третье место среди DeFi-атак текущего года.
На прошлой неделе пострадали еще несколько проектов. Verus Protocol лишился $11,6 млн через поддельные кросс-чейн сообщения. THORChain приостанавливал торговлю после подозрительных операций на $10 млн. Transit Finance потерял $1,88 млн из-за устаревшего смарт-контракта.
Закономерность 2026 года: большинство атак больше не связано с уязвимостями кода. Злоумышленники выбирают слабые точки в управлении, а именно ключи администраторов, устаревшие контракты и операционные ошибки команд. Аудит смарт-контрактов перестал быть достаточной защитой. Echo Protocol подтверждает это: кодовая база была чистой, а $76,7 млн исчезли.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *