Echo Protocol зазнав $76M експлойту в Monad через скомпрометований адмін-ключ

Платформу Echo Protocol, яка агрегує ліквідність Bitcoin і забезпечує інфраструктуру для дохідних стратегій, 19 травня 2026 року атакували через експлойт у її розгортанні на блокчейні Monad. Зловмисник викарбував 1 000 несанкціонованих токенів eBTC на суму приблизно $76,7 мільйона. Під час розслідування протоколу з’ясувалося, що скомпрометований admin-ключ у розгортанні Monad дав змогу виконати несанкціоновану активність із карбуванням. Приблизно $816 тис. викрадених коштів зрештою було відмито через Tornado Cash — міксер монет, що підкреслює кросчейн-ризики безпеки, з якими стикаються DeFi-платформи.

Блокчейн-компанія з безпеки PeckShield зафіксувала інцидент, посилаючись на ончейн-дослідника dcfgod. Зловмисник поповнив Curvance 45 eBTC ($3,45 мільйона), а потім позичив приблизно 11,29 WBTC ($867,700) під заставу. Після цього хакер перекинув WBTC на Ethereum, обміняв його на ETH і відправив 384 ETH (~$821,700) у Tornado Cash.

## Механіка атаки

Експлойт наслідував патерн, типовий для кросчейн-протоколів: один скомпрометований обліковий дозвіл розблокував права на карбування в усьому розгортанні. eBTC — це обгорнуте представлення Bitcoin від Echo Protocol у Monad, створене, щоб переносити ліквідність Bitcoin у DeFi-додатки на цьому блокчейні. Зловмисник використав цю можливість карбування, щоб створити несанкціоновані токени й витягнути цінність через кілька мереж.

## Відповідь Echo Protocol

Echo Protocol підтвердив витік і заявив, що його розслідування «вказує на те, що проблема виникла через скомпрометований admin-ключ, який впливав на розгортання Monad». Команда повідомила, що сам мережевий рівень Monad не постраждав і продовжує працювати в звичайному режимі.

Спираючись на поточні результати, приблизно $816 тис. було втрачено в Monad. Echo Protocol «успішно відновив контроль над нашими admin-ключами та спалив решту 955 eBTC, які перебували в розпорядженні атакувальника».

Інцидент виглядає ізольованим у Monad: «немає доказів компрометації Aptos», — за версією Echo. aBTC в Aptos і eBTC в Monad — це окремі, недоступні для бриджу активи. Поточна експозиція в Aptos обмежена приблизно $71 тис. у межах ринків кредитування Echo та пулів ліквідності Hyperion, без підтверджених втрат коштів у цій мережі.

## Відновні дії

Echo Protocol запровадив такі заходи:

- Призупинив кросчейн-функціональність для розгортання Monad
- Завершив оновлення відповідних контрактів Monad «щоб обмежити уражені операції та посилити контроль над чутливими функціями»
- Повністю зупинив міст Aptos як запобіжний захід, попри відсутність спостереженого впливу
- Призупинив Echo Aptos Lending для безпеки
- Оновив розгортання мостів у серії EVM «щоб додатково посилити кросчейн-контроль і зменшити операційний ризик»
- Виконує комплексний огляд ураженого розгортання Monad і пов’язаної мостової інфраструктури, включно з експозицією admin-ключів, дозволами контрактів, кросчейн-контролями та контролями карбування, разом із партнерами екосистеми та зовнішніми аудиторами безпеки

## Контекст індустрії

Злам Echo Protocol додає тиску на безпеку DeFi. Нещодавні експлойти включають атаки на THORChain і TrustedVolumes. Минулого місяця KelpDAO зазнав атаки на $293 мільйона, пов’язаної з інфраструктурою, яку пов’язують із групою Lazarus з Північної Кореї.

Міша Путятін, співзасновник Symbiotic і компанії з безпеки смартконтрактів Statemind, розповів Decrypt, що індустрії варто очікувати більше інцидентів такого роду, оскільки протоколи сильніше покладаються на офчейн-компоненти. «Коли DeFi-протоколи стають дедалі більш залежними від офчейн-інфраструктури, ми, ймовірно, побачимо відновлення атак у стилі “Web2.5”, що націлюються на централізоване керування ключами, бази даних і операційну інфраструктуру», — сказав Путятін.

Назвавши це «балансуванням», Путятін зазначив, що системи з «більш залученим керуванням» стають дедалі вразливішими до атак соціальної інженерії та на інфраструктуру порівняно з «повністю permissionless-системами».

Путятін сказав, що централізовані та офчейн-компоненти DeFi-протоколів історично «розглядали як зону вторинного ризику», але очікує, що це зміниться. «Ми, ймовірно, побачимо значно більше уваги до операційної інфраструктури, керування ключами та внутрішніх рамок безпеки — подібно до того, як аудити смартконтрактів стали стандартом після циклу експлойтів 2021 року», — додав він.