Платформа Echo Protocol по агрегации ликвидности и инфраструктуре для доходности на Биткоине подверглась взлому в рамках развертывания на блокчейне Monad 19 мая 2026 года, после того как злоумышленник выпустил 1 000 несанкционированных токенов eBTC на сумму приблизительно 76,7 млн долларов. Расследование протокола показало, что скомпрометированный админ-ключ в развертывании Monad дал возможность выполнить несанкционированную операцию чеканки. Примерно 816 тыс. долларов украденных средств в итоге были отмыты через Tornado Cash, миксер монет, что подчеркнуло кроссчейн-риски безопасности для DeFi-платформ.
Фирма по безопасности блокчейнов PeckShield указала на инцидент, ссылаясь на ончейн-исследователя dcfgod. Злоумышленник внес 45 eBTC (3,45 млн долларов) в Curvance, затем занял примерно 11,29 WBTC (867,7 тыс. долларов) под залог. Далее хакер перекинул WBTC в Ethereum, обменял его на ETH и отправил 384 ETH (~821,7 тыс. долларов) в Tornado Cash.
## Механика атаки
Эксплойт следовал шаблону, распространенному в кроссчейн-протоколах: один скомпрометированный набор учетных данных открывал права на чеканку в рамках всего развертывания. eBTC — это токенизированное представление Биткоина Echo Protocol на Monad, предназначенное для переноса биткоинской ликвидности в DeFi-приложения в этой сети. Злоумышленник использовал эту возможность чеканки, чтобы создавать несанкционированные токены и извлекать стоимость на нескольких цепочках.
## Реакция Echo Protocol
Echo Protocol подтвердил взлом и заявил, что расследование «указывает на то, что проблема возникла из-за скомпрометированного админ-ключа, затрагивающего развертывание Monad». Команда отметила, что сама сеть Monad не пострадала и продолжает работать в обычном режиме.
Исходя из текущих данных, примерно 816 тыс. долларов были затронуты в Monad. Echo Protocol «успешно вернула контроль над нашими админ-ключами и сожгла оставшиеся 955 eBTC, находившиеся во владении злоумышленника».
Похоже, инцидент ограничен Monad: «нет доказательств компрометации Aptos», — говорится у Echo. aBTC в Aptos и eBTC в Monad — это отдельные, не подлежащие бриджу активы. Текущая экспозиция в Aptos ограничена примерно 71 тыс. долларов на рынках кредитования Echo и пулах ликвидности Hyperion, при этом подтвержденных потерь средств в этой сети нет.
## Меры по устранению
Echo Protocol внедрил следующие меры:
- Приостановил кроссчейн-функциональность для развертывания Monad
- Завершил обновление соответствующих смарт-контрактов Monad «чтобы ограничить затронутые операции и усилить контроль над функциями повышенной чувствительности»
- Полностью приостановил бридж Aptos в качестве меры предосторожности, несмотря на отсутствие наблюдаемого воздействия
- Приостановил Echo Aptos Lending в целях безопасности
- Обновил развертывания бриджей в EVM-серии «чтобы дополнительно усилить кроссчейн-контроль и снизить операционный риск»
- Проводит всеобъемлющий пересмотр затронутого развертывания Monad и связанной бридж-инфраструктуры, включая экспозицию админ-ключей, разрешения контрактов, кроссчейн-контроли и контроли чеканки, наряду с партнерами экосистемы и внешними оценщиками безопасности
## Контекст отрасли
Взлом Echo Protocol усиливает растущее давление на безопасность DeFi. Среди недавних эксплойтов — атаки на THORChain и TrustedVolumes. В прошлом месяце KelpDAO подвергся инфраструктурно-связанной атаке на 293 млн долларов, которую связывают с Лазарус-группой из Северной Кореи.
Миша Путятин, сооснователь Symbiotic и компании по безопасности смарт-контрактов Statemind, рассказал Decrypt, что отрасли следует ожидать больше инцидентов такого рода, поскольку протоколы сильнее опираются на офчейн-компоненты. «По мере того как DeFi-протоколы становятся все более зависимыми от офчейн-инфраструктуры, мы, вероятно, увидим возвращение атак в стиле „Web2.5“, нацеленных на централизованное управление ключами, базы данных и операционную инфраструктуру», — сказал Путятин.
Называя это «актом балансирования», Путятин отметил, что системы с «более вовлеченным управлением» становятся все более уязвимыми к социальному инжинирингу и инфраструктурным атакам по сравнению с «полностью permissionless-системами».
Путятин сказал, что централизованные и офчейн-компоненты DeFi-протоколов исторически «рассматривались как зоны вторичного риска», но ожидает, что это изменится. «Мы, вероятно, увидим гораздо больше внимания к операционной инфраструктуре, управлению ключами и внутренним рамкам безопасности — по аналогии с тем, как аудиты смарт-контрактов стали стандартом после цикла эксплойтов 2021 года», — добавил он.
