Эксплойт Echo Protocol на Monad: $76,7 млн «напечатанных» eBTC и менее $1 млн реальных потерь

Как произошёл взлом

Echo Protocol использует токен eBTC как ликвидный актив, который можно применять в кредитовании и стратегиях доходности. Атака не была связана с ошибкой в смарт‑контракте.

Вместо этого злоумышленник получил доступ к привилегированному административному приватному ключу, связанному с развёртыванием протокола в сети Monad.

Имея этот ключ, он получил возможность:

• выпускать новые токены eBTC
• проводить операции с привилегиями администратора

Таким образом в системе появилось около 1000 необеспеченных eBTC, которые другие DeFi‑протоколы первоначально воспринимали как легитимный актив.

Как злоумышленник вывел реальные деньги

После создания фальшивых токенов был использован классический сценарий DeFi‑эксплойта — превращение искусственного залога в реальные активы:

1. Злоумышленник выпустил 1000 eBTC без обеспечения.
2. 45 eBTC были внесены как залог в кредитный протокол Curvance.
3. Под этот залог он занял 11,29 WBTC (wrapped Bitcoin) стоимостью примерно $867 700.
4. Эти средства были переведены через мост в сеть Ethereum, обменяны на ETH и частично отправлены в Tornado Cash для сокрытия следов.

Ликвидность рынка eBTC оказалась ограниченной, поэтому злоумышленник не смог конвертировать большую часть созданных токенов в реальные активы до того, как атака была обнаружена.

Почему сначала говорили о «взломе на $76,7 млн»

Цифра $76,7 млн, широко разошедшаяся в новостях, относится к номинальной стоимости 1000 eBTC, созданных злоумышленником.

Но эти токены не имели реального обеспечения. Большая их часть так и осталась в кошельке атакующего.

Изначально примерно 955 eBTC находились на адресе злоумышленника.

После восстановления контроля над админ‑ключом команда Echo Protocol сожгла эти 955 eBTC, чтобы исключить возможность их дальнейшего использования.

Как отреагировали Echo Protocol, Curvance и Monad

Проекты внутри экосистемы Monad быстро приняли меры для сдерживания атаки.

Действия Echo Protocol

• приостановлены все кроссчейн‑транзакции на время расследования
• восстановлен контроль над скомпрометированным админ‑ключом
• сожжены оставшиеся 955 eBTC

Действия Curvance

• обнаружена аномальная активность в рынке eBTC
• приостановлен соответствующий кредитный рынок, чтобы остановить дальнейшие заимствования

Важно, что сама сеть Monad не была взломана — инцидент произошёл на уровне приложения (Echo Protocol), развёрнутого в этой сети.

Какие проблемы безопасности привели к атаке

Анализ инцидента выявил несколько слабых мест в управлении протоколом:

• Компрометация админ‑ключа, позволившая злоумышленнику выпускать токены.
• Отсутствие ограничений на выпуск токенов, что позволило создать крупную сумму eBTC сразу.
• Слабая модель управления, включая отсутствие мультиподписей и таймлоков для критических операций.

Такие условия означают, что после кражи ключа атакующий фактически получает контроль администратора протокола.

Типичный сценарий для DeFi‑взломов в 2026 году

Инцидент с Echo Protocol отражает более широкий тренд индустрии: многие крупные взломы DeFi сегодня связаны не с багами в коде, а с компрометацией ключей и инфраструктуры управления.

В таких случаях смарт‑контракты могут работать абсолютно корректно, но если атакующий получает доступ к привилегированному ключу, он фактически становится администратором системы.

Главный вывод

История с Echo Protocol показывает одну из главных уязвимостей современных DeFi‑проектов: доступ администратора может быть опаснее, чем ошибки в смарт‑контрактах.

Хотя номинально было создано активов на десятки миллионов долларов, быстрые меры реагирования ограничили реальные потери суммой менее $1 млн.

Для разработчиков DeFi это ещё одно напоминание: даже идеально проверенный код не спасёт протокол, если ключи управления не защищены мультиподписями, лимитами выпуска и механизмами задержки операций.