Giải thích vụ exploit Echo Protocol: 76,7 triệu USD eBTC được tạo ra nhưng thiệt hại thực tế dưới 1 triệu USD

Điểm đáng chú ý: đây không phải lỗi trong smart contract cốt lõi. Thay vào đó, vấn đề nằm ở khâu vận hành khi khóa quản trị bị lộ, cho phép hacker tạo token mà các giao thức DeFi khác vẫn tạm thời tin là hợp lệ.

Hacker đã rút tiền thật như thế nào

Sau khi mint eBTC giả, kẻ tấn công áp dụng chiến lược quen thuộc trong DeFi: dùng tài sản giả làm collateral để vay tài sản thật.

Quy trình được ghi nhận như sau:

1. Mint 1.000 eBTC trái phép bằng khóa admin bị lộ.
2. Gửi 45 eBTC làm tài sản thế chấp vào thị trường cho vay Curvance.
3. Vay khoảng 11,29 WBTC (wrapped Bitcoin), trị giá khoảng 867.700 USD.
4. Bridge số WBTC này sang Ethereum, đổi sang ETH và chuyển một phần qua Tornado Cash để che dấu dấu vết giao dịch.

Thanh khoản của thị trường eBTC khá thấp, vì vậy hacker không thể chuyển toàn bộ số token giả thành tài sản thật trước khi vụ việc bị phát hiện. Do đó, thiệt hại thực tế chỉ ở mức dưới 1 triệu USD.

Vì sao ban đầu báo cáo nói 76,7 triệu USD bị hack

Con số 76,7 triệu USD thực chất là giá trị danh nghĩa của 1.000 eBTC được mint trái phép, chứ không phải số tiền bị rút khỏi hệ sinh thái.

Sau khi vụ việc bị phát hiện:

• Khoảng 955 eBTC vẫn nằm trong ví của hacker và chưa được sử dụng.
• Đội ngũ Echo sau đó lấy lại quyền kiểm soát khóa admin.
• Số 955 eBTC còn lại đã bị đốt (burn) để ngăn việc sử dụng chúng sau này.

Điều này khiến phần lớn giá trị “76,7 triệu USD” chỉ tồn tại trên giấy và không gây thiệt hại thực sự cho thanh khoản của hệ sinh thái.

Các biện pháp phản ứng của hệ sinh thái

Sau khi phát hiện hoạt động bất thường, nhiều dự án liên quan đã hành động nhanh để hạn chế thiệt hại.

Echo Protocol

• Tạm dừng toàn bộ giao dịch cross‑chain để điều tra.
• Lấy lại quyền kiểm soát khóa quản trị bị lộ.
• Đốt 955 eBTC còn lại từ vụ tấn công.

Curvance

• Phát hiện hoạt động bất thường trong thị trường eBTC.
• Tạm dừng thị trường liên quan để ngăn việc vay thêm tài sản thật.

Monad

• Các báo cáo cho biết blockchain Monad không bị hack; sự cố chỉ xảy ra ở cấp ứng dụng của Echo Protocol trên mạng này.

Những lỗ hổng bảo mật dẫn tới vụ exploit

Các nhà phân tích chỉ ra một số điểm yếu trong quản trị và vận hành:

• Khóa admin bị xâm nhập: hacker có quyền mint token trực tiếp.
• Thiếu giới hạn mint: hệ thống không có cơ chế giới hạn số token có thể phát hành.
• Thiếu cơ chế bảo vệ quản trị: ví admin không có multi‑sig hoặc timelock cho các thao tác nhạy cảm.

Khi khóa quản trị bị lộ, kẻ tấn công về cơ bản có quyền hành động như một quản trị viên hợp pháp.

Một xu hướng lớn hơn trong các vụ hack DeFi

Vụ Echo Protocol phản ánh xu hướng đáng chú ý của ngành DeFi năm 2026: nhiều vụ hack lớn không đến từ lỗi smart contract mà từ việc lộ khóa riêng hoặc lỗi quản trị.

Trong các trường hợp này, mã nguồn có thể hoạt động đúng như thiết kế — nhưng khi khóa quản trị bị chiếm, kẻ tấn công gần như có toàn quyền điều khiển giao thức.

Kết luận

Vụ việc Echo Protocol cho thấy rủi ro lớn trong DeFi không chỉ nằm ở code mà còn ở quản lý quyền quản trị. Dù hacker tạo ra số eBTC trị giá hơn 76 triệu USD, phần lớn chỉ là tài sản giả và không thể rút khỏi hệ sinh thái.

Nhờ việc phát hiện nhanh và dừng hoạt động kịp thời, thiệt hại thực tế được giữ dưới 1 triệu USD — nhưng vụ việc vẫn là lời cảnh báo rõ ràng về tầm quan trọng của multi‑sig, giới hạn mint và cơ chế timelock trong quản trị DeFi.