Echo Protocol хақтауына аутопсия: шын мәнінде хақтау болмаған 76 млн долларлық эксплойт

2026 жылы DeFi секторындағы шығындар төрт айда 1 млрд доллардан асты, ал сәуір айында ғана 28-ден астам оқиғада 634 млн доллардан айырылды – бұл рекордтық ең нашар ай ретінде тарихқа енді.

Тек Drift (285 млн доллар) пен KelpDAO (292 млн доллар) сәуірдегі шығындардың 577 млн долларын құрады, алайда екеуі де кодтық эксплойтқа ұшыраған жоқ.

DefiLlama-ның 2026 жылға арналған хакинг статистикасы да осыны көрсетіп отыр.

Ең үлкен үлестер: LayerZero көпір эксплойттары – 18%, бұзылған әкімші пернелері – 16%, жалған токендер – 14%, ал жеке пернелердің бұзылуы – 11%.

Операциялық және пернелерді басқарудағы қателіктер жыл басынан ұрланған барлық құнның басым бөлігін береді, ал смарт келісімшарттағы кедергілер – re-entrancy және оракулды бұрмалау сияқты кемшіліктер маңызды статистикаға кіре алмай отыр.

Echo Protocol осы тізімге соңғы болып қосылды.

18 мамыр күні бір шабуылшы Echo Protocol-ға Monad жүйесінде еніп, өзі үшін 1 000 жалған eBTC басып шығарды. Қағаз жүзінде оның құны — 76,7 млн доллар.

Дегенмен, жалған токендерді шын мәнінде ештеңеге алмастыра алмайсыз, егер оларды нағыз активке айырбастауға мүмкіндігіңіз жоқ болса. Сол себепті, шабуылшы оның аз бөлігін, яғни жалған токендерді Curvance-тің кредиттік қосымшасына кепілдік ретінде салды да, оған қарсы нағыз Bitcoin алды.

Содан соң, алған Bitcoin-ды Ethereum желісіне көпір арқылы өткізіп, ETH-қа айырбастап, Tornado Cash арқылы өткізді. Соңғы пайда — шамамен 816 000 доллар.

Жұрт арасында 76,7 млн доллар деп айтылып жүр, бірақ нақты алынған сома 816 000 доллар. Бұл екі санның арасындағы айырмашылық осы оқиғаның басты себебі болып табылады.

Earlier today, Echo Protocol identified unauthorized activity involving eBTC on Monad that resulted in unauthorized minting and associated fund loss.

Our investigation indicates the issue originated from a compromised admin key affecting the Monad deployment. Based on current…
— Echo Protocol (@EchoProtocol_) May 19, 2026

Бұл талдау оқиғаның қалай болғанын, себептерін және қазіргі кезде DeFi қауіпсіздігінің қандай жағдайын көрсетеді.

Маңыздысы: Келісімшартта ақау болмаған. Ұрланған әкімші перне мен немқұрайлы бақылау бәріне себеп болды, ал 2026 жылы DeFi секторындағы шығындардың көбі осындай жолмен болуда.

Нәтижелер (қысқаша қорытынды)

Echo Protocol бұзылған жоқ, себебі смарт келісімшартта қате болмаған. Шабуылшы әкімші пернесін ұрлап немесе қол жеткізіп алды.
Әкімші перне Echo-ның Monad-тағы eBTC токенін шығару құқығын бақылаған. Жеке бір перне жалған Bitcoin-ға тіркелген токендерді шығаруға жеткілікті болған.
Шабуылшы шамамен 76,7 млн доллар тұратын 1 000 жалған eBTC шығарды. Алайда оларды ешқандай шынайы BTC қолдамады.
Толық соманы шешіп ала алмады, өйткені Monad-тағы өтімділік жеткіліксіз еді. Сол себепті ол 45 жалған eBTC-ді Curvance платформасына кепілдік ретінде пайдаланды.
Curvance жалған eBTC-ді қалыпты кепіл ретінде қабылдап, шабуылшыға нағыз WBTC берді.
Шабуылшы нақты мәнде шамамен 816 000 доллармен қашып үлгерді, ал қағазда көрсетілгендей 76,7 млн доллар алған жоқ.
Кейін Echo 955 жалған eBTC-ді өртеп, тиісті функцияларды уақытша тоқтатты.
Monad желісі бұзылған жоқ. Curvance-тің негізгі протоколы да тікелей бұзылған емес. Қателік Echo-ның әкімші құрылымында және Curvance жаңадан шығарылған кепілдікті қабылдағанында болды.
Негізгі сабақ: DeFi шабуылшылары енді смарт келісімшарт ақауларынан гөрі пернелер, әкімшілер, көпірлер, инфрақұрылым мен команда жұмысына бағытталуда.
Қарапайым қорғаныс шаралары мұны азайтатын еді: мультисиг әкімдік, уақыттық шектеулер, шығару лимиттері, мөлшерлемелік лимиттер және кепілдікті тексеру.
Echo-ға жолы болды. Шабуылшының көбірек қаражатты шығара алмауына басты себеп – жалған токендерді шешіп алуға өтімділік болмағаны.

Негізгі қатысушылар

Оқиғаның толық барысы және қалай болғанын төменде оқи аласыз.

Echo Protocol

BTCFi (Bitcoin DeFi) жобасы. Идеясы: өз BTC-іңізді DeFi секторында жұмыс істейтін, кіріс әкелетін оралған нұсқасына айналдыру.

Негізгі желілері – Aptos, мұнда токен aBTC деп аталады. 2025 жылғы мамырда Aptos-та олардың TVL көлемі тарихи максимум – 878 млн долларға жетті, қазіргі уақытта 254 млн доллар деңгейінде.

Echo Monad-қа оның негізгі желі экожүйесін дамыту аясында көшті. Monad-та олардың оралған BTC токені eBTC деп аталады.

Бұл жерде маңыздысы: aBTC мен eBTC – мүлде бөлек, көпір арқылы байланыспайтын активтер. Бұл – параллель орналастырылымдар, бір-бірімен байланысты емес. Хакерлік шабуыл тек Monad-тағы eBTC-ге бағытталды.

Monad

Жаңа жоғары өнімділікті, параллельдендірілген EVM L1. 2025-26 жылдардың хайпқа ие желілерінің бірі, жақында негізгі желіге шыққан, көптеген жаңа протоколдар енді орналасуда.

Echo – олардың бірі. Monad-тың өзі ешқандай бұзылмаған. Бірлескен құрылтайшы @keoneHD желі тұрақты жұмыс істегенін растады. Протокол деңгейіндегі қате Monad-та орналасқан қосымшада ғана тіркелген.

To clarify, the Monad network is not affected and is operating normally

Security researchers in their review have determined that ~$816,000 appears to have been stolen as a result of this exploit of @EchoProtocol_ 's eBTC
— Keone Hon (@keoneHD) May 18, 2026

Curvance

Monad желісінде орналастырылған қарыз беру протоколы. Aave сияқты жұмыс істейді, бірақ әрбір кепілдік активі өз жеке оқшауланған пулы ішінде орналасады сондықтан да, егер бір активте ақау болса, бүкіл қарыз беру протоколына әсер етпейді.

Олар кепілдік актив ретінде eBTC тізімге енгізген еді.

Tornado Cash

Санкцияланған ETH миксері. Сіз ETH жібересіз, басқа әмияннан ETH аласыз, әрі он-чейн із үзеді. Хакерлер үшін стандартты шегіну құралы.

Exploit Alert 🚨

According to @dcfgod, @EchoProtocol_ on @monad has been exploited.

The attacker reportedly minted 1,000 $eBTC worth $76.7M and used a previously tested exploit flow to extract funds through Curvance.

So far, the exploiter has:

• Deposited 45 $eBTC ($3.45M)… pic.twitter.com/933n9bbq3X
— Onchain Lens (@OnchainLens) May 18, 2026

Не әлсіздік болды

Monad желісіндегі Echo-ның eBTC токені стандартты ERC-20 келісімшарты, OpenZeppelin-нің рөлдерге негізделген қол жеткізу жүйесін қолданады. Бұл саладағы стандарт, іс жүзінде барлық маңызды DeFi жобалары соны пайдаланады.

Ондағы екі рөл шешуші маңызға ие:

DEFAULT_ADMIN_ROLE: басты рөл. Келісімшарттағы кез келген басқа рөлді тағайындап немесе қайтарып ала алады.
MINTER_ROLE: mint() функциясын шақырып, жаңа eBTC токендерін шығара алады.

Әдетте, мұны тек Echo командасы басқарады. Шығару тек нақты BTC бір жерде құлыпталған кезде ғана жүзеге асады, сосын команда сәйкес eBTC шығарады. Осындай әдіске орай, бұл оралған токеннің сенім моделі құрылып тұр.

Echo қателік жасаған тұсты қараңыз.

DEFAULT_ADMIN_ROLE жалғыз EOA-ға берілді, яғни бір ғана құпия кілтпен қорғалған кәдімгі әмиян. Әмиянда ешбір қорғаныс шарасы болмады. Сол кілт кімде болса, қалағанынша немесе кез келген уақытта токен шығара алатын еді, ешқандай бөгетсіз.

Сәйкесінше, Monad желісіндегі Echo экожүйесі (құны 254 млн доллардан астам) қауіпсіздік тұрғысында бір жеке кілттің артында тұрды. Сол кілт ұрланды. Әзірге оны қалай ұрлағаны белгісіз. Бұл фишинг, командалық ноутбукке орнатылған зиянды бағдарлама, инфрақұрылымнан ақау, ішкі адам, репозиторийде құпия ақпараттың таралуы немесе әзірлеу құралы арқылы жеткізілім желісіндегі шабуыл болуы ықтимал. Echo нақтылай хабарламаған.

Шабуыл кезеңдері

Күні: 18 мамыр, 2026, шамамен 17:55 ET

1-қадам: Шабуылшылар ұрланған әкімші кілтпен өз ұялы әмиянында DEFAULT_ADMIN_ROLE тағайындайды. Енді олар да әкімші болды.
2-қадам: Жаңа әкімші рөлінен өздеріне MINTER_ROLE береді. Енді олар токендер шығара алады.
3-қадам: mint(attacker_wallet, 1000e8) шақырады. Әмиянында 1 000 eBTC пайда болады. Нақтылы құны — 76,7 млн долларға жуық. Артында тұрған нақты BTC — нөл. Бұл токендер түкке тұрмайтын, еш жерде жоқ жалған талаптар.
4-қадам: Оригинал Echo әкімші рөлін әрі өз әкімші рөлін кері қайтарып алады. Бұл тізбекте көзге күдік тудырмас үшін жасалды. Сырт көзге жай ғана бір әмиянда 1 000 eBTC бар сияқты көрінеді.

Осы кезде пэг математикалық тұрғыда бұзылды. Қолда бар BTC-ден 1 000 eBTC көп, яғни артығымен шығарылған.

Дегенмен, шабуылшы ештеңе алып үлгерген жоқ. Жалған токендердің еш құны жоқ, егер сіз оны ақшалай құндылыққа ауыстыра алмасаңыз.

Ақшаны шығару барысы

Сіз 1 000 қолдан жасалған eBTC-ні DEX-ке лақтыра алмайсыз. Monad-тағы DEX-терде ондай өтімділік жоқ. Сіз бірден бағаны нөлге құлатып, ештеңе ала алмайсыз және арбитражерлер оны сол сәтте-ақ байқап қояды. Сол себептен шабуылшы қарыз беру нарығына жүгінді.

5-қадам. 45 eBTC (қағаз жүзінде 3,45 млн доллар) Curvance-қа кепілдік ретінде салады. Curvance оны қабылдайды, себебі келісімшарт тұрғысынан eBTC ол — eBTC. «Жаңа шығарылған жалған eBTC» мен «нақты BTC-мен қамтылған eBTC»-ні ажырататын оракл немесе тексеру жоқ. Бұл — хактың екінші құлдырауы. Қарыз нарықтары жаңа кепілдікті оның шыққан жеріне қарамастан түгел қабылдай береді.
6-қадам. Оған қарсы 11,29 WBTC қарызға алады, шамамен 868 мың доллар нақты оралған биткоинға баламалы сомада. WBTC — Ethereum-дағы негізгі BTC токені, үлкен өтімділікпен, толығымен қолдаулы. Енді олар 868 мың доллардың нақты құнына ие, ал кепілдік ретіндегі 3,45 млн доллар жалған активтер — енді қайтып оралмайтын ақша.
7-қадам. WBTC-ні Ethereum-ға көпір арқылы өткізіп жібереді. Өтімділік осында әрі Tornado осы жерде жұмыс істейді.
8-қадам. Ethereum-да WBTC-ді шамамен 384 ETH-қа (~822 мың доллар) ауыстырады.
9-қадам. Осы 384 ETH-ті Tornado Cash көмегімен өткізеді. Із жоғалады. Қаражат жаңа әмияндарға түседі, оларды артқа қадағалау мүмкін емес.

Шығарылған нақты ақша: шамамен 816 мың доллар.

Echo әрекеті

Хак туралы ақпарат шыққаннан кейін бірнеше сағат ішінде Echo әкімші кілтті қайтарып алды, шабуылшы әмиянында қалған 955 eBTC-ті өртеп жіберді (ол әмиян енді жоқ), Monad-та барлық кросс-чейн функцияларын тоқтатты.

Сондай-ақ, Aptos-та бәрі таза болса да, жай сақтық үшін Aptos көпірі мен Aptos-тағы қарыз беруді тоқтатты. Monad-та келісімшартты жаңартып, зардап шеккен операцияларды шектеу енгізді, әрі басқа EVM көпірлеріне де патч жасайтындарын мәлімдеді.

Curvance eBTC нарығын тоқтатты, өз келісімшарттарының қауіпсіз екеніне көз жеткізді, әрі оқшау нарық дизайны басқа қарыз беру пулдарына залалдың таралмағанын атап өтті.

Monad өкілі Keone желіге еш әсер болмағанын және нақты шығын шамамен 816 мың доллар екенін айтты.

Талдау

76,7 млн доллар мен 816 мың доллар арасындағы айырмашылық — бүкіл оқиғаның мәні. Curvance жалғыз шынайы шығу жолы болды әрі ондағы тереңдік (ликвидтілік) қарызды 868 мың доллар шамасында шектеді.

eBTC шығарылған	1 000 (номиналды 76,7 млн доллар)
Curvance-қа салынған	45 eBTC
WBTC қарыз алынған	11,29 (~868 мың доллар)
Tornado арқылы жіберілген	~384 ETH (~822 мың доллар)
Шын мәнінде ұрланған	~816 мың доллар
Echo жағынан жойылған eBTC	955
Aptos әсері	~71 мың доллар
ECHO шығыны	~11-12%-ға

Қалған 955 eBTC ешқайда кете алмады, тек Echo оны жойғанға дейін. Monad-тың өтімділігі аз болғандықтан, Echo әлдеқайда үлкен шығыннан аман қалды. Егер Ethereum-да орын алғанда, бұл шамамен 76 млн доллар шығын болар еді.

Бұл неге операциялық хак, ал смарт келісімшарт хак емес

Кодта ешқандай ақау болған жоқ. Ол өзі жұмыс істеуі керек тәртіпте болды. Нақты мәселе Echo протокол айналасында орнатқан жүйесінде жатыр:

Админ рөлі көпқолтаңбалы әмиянға емес, бір ғана әмиянға бекітілген. Бір құпия кілтті ұрлау бүкіл протоколды қолға түсіруге жеткілікті болды.
Уақытша кілт болмаған. Шабуылдаушы өзіне админ және minter құқығын берген кезде, өзгерістер бірден күшіне енді. Кешігу де, командаға байқап, әрекет жасауға уақыт та болған жоқ.
Келісімшартта ең жоғары ұсынылатын мөлшер шектелмеген еді. Бір де бір BTC-мен қамтамасыз етілмеген 1 000 eBTC шығару техникалық тұрғыдан келісімшарт ережелеріне қайшы келген жоқ.
Мөлшердің тәуліктік шектемесі де болмаған. Шабуылдаушы барлық 1 000 бір уақытта шығарды, оларға бөліп таратуды талап етпеді.
Curvance жаңадан шығарылған eBTC-ты қамтамасыз ету ретінде қабылдап, онымен нақты қамтамасыз етілген-қамтамасыз етілмегенін тексерген жоқ. Қарыз нарығы әмиянда eBTC токендерін көріп, оларды нағыз eBTC-мен бірдей деп санады.

Осының ешқайсысы күрделі немесе эксперименттік шешім емес. Көпқолтаңбалар, уақытша кілттер, шығару шегі мен ұсынысты тексеру ― бұларды маңызды DeFi протоколдары бірнеше жылдан бері қолданып келеді. Echo олардың біреуін де енгізуге мән бермей қойған.

2026 жылғы мамыр осылай көрінді

Echo осы айдағы он төртінші хак болды. Жыл басынан бері:

Протокол	Шығын	Вектор
KelpDAO (сәуір)	292 млн доллар	RPC-ді уландыру + DDoS (Lazarus)
Drift	285 млн доллар	Әлеуметтік инженерия (Lazarus, UNC4736)
THORChain (15 мамыр)	10 млн доллар+	Қойма бұзылды
Verus bridge (17 мамыр)	11,6 млн доллар	Кроссчейн верификация
Echo (18 мамыр)	816 мың доллар	Админ кілті
Transit Finance	1,88 млн доллар	Ескірген келісімшарт

2026 жылы көпірлерге жасалған хактардан жалпы 328,6 млн доллар шамасында шығынға ұшыраған 8 оқиға тіркелді. Олардың ешқайсысы Solidity қатесі болмады. Қазір ақша кілттер, қол қоюшылар, RPC нүктелері мен оффчейн верификаторлар арқылы шығып жатыр. Шабуылдаушылар стектің жоғары қабатына көшті. Биылғы маңызды кейбір оқиғалар:

Drift (сәуір): Техникалық эксплойт болған жоқ. UNC4736 (Солтүстік Корея) Drift қызметкерлерін алты ай бойы әлеуметтік инженерия жасап, 285 млн долларды 12 минутта шығарды. Алты ай дайындалып, 12 минутта бәрін іске асырды. Бұл хак емес, әскери операция десе болады.
KelpDAO (17 күннен кейін): Дәл сол топ, бірақ мүлдем басқа тәсіл. Олар LayerZero-ның RPC инфрақұрылымын уландырып, кроссчейн хабарламаларды бұрмалағаны арқылы 292 млн доллар жымқырды. Мемлекет тарапынан қаржыландырылатын командалар бір уақытта бірнеше тактиканы қатар жүргізеді.
ЖИ де байқалып жатыр: Google 11 мамырда алғашқы ЖИ-нің көмегімен жасалған ауқымды эксплойтты растады (ЖИ нөлдік күндік осалды тауып, 2FA-ны айналып өтетін кодты жазды). GoPlus Web3-тегі шығындардың ай сайын 231%-ға өскенін және оның бір бөлігі ЖИ-мен байланысты екенін хабарлады. CrowdStrike eCrime шабуылының орташа басталу уақыты 29 минутқа жеткенін, ал ең жеделі 27 секунд болғанын мәлімдейді. Шабуылшылар жақ жақтан автоматтандырып жатыр, бірақ қорғаныс негізінен автоматтандырылмаған.
Resolv Labs (наурыз): Стейблкоин шығаратын тараптың админ кілті бұзылды. Шабуылшы 80 млн жабдықталмаған USR шығарып, 25 млн долларды иеленді, ал USR 80%-ға дейін арзансыды. Echo-дағыдай түбірлі себеп, бірақ протоколдың түрі басқа. Бұндай заңдылық сіз не құрып жатқаныңызға қарамайды.

Ondo Finance оқиғадан кейінгі талдауында: «қорғану керек осалдықтың бір ғана түрі жоқ» деп ашық жазды. Көптеген протоколдар осыны әлі толық түсінбей келеді.

Sonyнда Echo админ кілті арқылы бұзылғанда, ол оқшау оқиға емес еді. Ол DeFi тарихындағы ең қатты қауіп төнген кезеңде орын алды және протокол 2022 жылы сияқты жұмыс істеп тұрды.

Қызығы қайда?

DeFi соңғы бес жылда смарт келісімшарт қауіпсіздігін жетілдіруге жұмсады. Аудиттер, баг-бағдарламалар, формалды тексеру — барлығы қамтылды.

Сол себепті шабуылдаушылар кодтан алыстап, басқасына назар аударып отыр. Кілттер, инфрақұрылым, қызметкерлер, қол қоюшылар. Олардың ешқайсысы аудиттен өтпейді.

BTC-мен қамтамасыз етілген кез келген протоколда тек бір қауіпсіздік сұрағы маңызды: токен шығаруды кім бақылайды және сол өкілетті басқаның иеленуі қаншалықты қиын.

Жауап ретінде «уақытша кілті бар көпқолтаңбалы әмиян, шығаруға шек, жаңа кепілдің қайдан келгенін тексеретін қарыз нарығы» болса — сіз нағыз протокол құрғансыз. Ал, жауап «бір ғана әмиян, бір ғана кілт» болса — 254 млн доллар кез келген ұрының қолына өтуге дайын тұр деген сөз. Echo осы екінші санатта еді.

Шығын бір жерде қалмайды. Aave сәуірде бұзылмағанымен, KelpDAO эксплойтынa байланысты TVL 48 сағаттың ішінде 5,4 млрд долларға азайды. Инвесторлар үрейленген соң барлығынан қаражатын жаппай шығара бастады. Қазір осылай болады: бір протоколда проблема шығып, бүкіл нарықтың бағасы жаңа деңгейге қайта түзетіледі.

Бұл шешімдер жаңа емес. Олар бірнеше жылдан бері бар. Әкімшілікті мультисигке қою, өзгерістерге таймлок орнату, ұсынысты шектеу, қамтамасыз етуді тексеру – бұлардың ешқайсысы протоколды қолданушылар үшін тартымды ете алмайды, сондықтан ешкім ол шешімдерді протоколы кеңінен тарағанға дейін енгізбейді.

Echo-ға жеңіл тиді, себебі Monad-та өтімділік тым аз болғандықтан, шабуылдаушы қаражатты толықтай шешіп ала алмады. Келесі протоколда мұндай сылтау болмауы ықтимал.