Echo Protocol, платформа Bitcoin-DeFi на базе сети Monad, 19 мая 2026 года потеряла примерно $76,6 млн в результате выпуска необеспеченных eBTC. Злоумышленник получил права администратора в контракте токена eBTC и произвел выпуск 1 000 новых токенов. Фактическая сумма выведенных средств составила около $816 000 в ETH, которые были отправлены через Tornado Cash. Это связано с тем, что экосистема DeFi на Monad еще недостаточно развита, чтобы обеспечить ликвидность для преобразования всего фальшивого предложения. Разница между формальной и реальной потерей — основная суть инцидента.
Это уже 14-й крупный эксплойт в криптовалютной отрасли за май 2026 года. Он иллюстрирует две важные тенденции: перемещение Bitcoin-DeFi на более быстрые сети и рост числа атак через компрометацию ключей администратора по сравнению с классическими уязвимостями смарт-контрактов. В статье разобрано, как произошла атака, как злоумышленник вывел средства, какие меры предприняли разработчики Echo и на что стоит обратить внимание пользователям, а также разработчикам.
Что произошло 19 мая
Атака заняла несколько часов и была реализована в основной сети Monad на контракте eBTC от Echo Protocol. eBTC — это обёрнутый биткоин, позволяющий держателям BTC использовать актив внутри приложений DeFi на Monad и получать дополнительную функциональность. Предполагалось, что каждый eBTC обеспечен настоящим биткоином в резерве.
Это обеспечение перестало существовать, когда злоумышленник присвоил себе роль DEFAULT_ADMIN_ROLE в контракте eBTC. Получив полный административный доступ, он выдал своему кошельку права MINTER_ROLE, которые позволяют минтить токены без ограничений, и выпустил 1 000 eBTC на сумму около $76,6 млн.
Затем злоумышленник удалил свои административные права, чтобы усложнить отслеживание действий в блокчейне. Это стандартная практика для сокрытия следов и затруднения расследования.
Как работает компрометация ключа администратора
Большинство DeFi-токенов используют многоуровневую систему прав доступа, основанную на паттерне AccessControl. DEFAULT_ADMIN_ROLE — это «мастер-ключ», позволяющий назначать любые роли — в том числе права на выпуск токенов.
Если этот мастер-ключ хранится у одного человека или в слабом мультисиге, вся система может быть скомпрометирована через фишинг, взлом аппаратного кошелька или действия инсайдера. В таких атаках нет сложного кода или хитрых эксплойтов — контракт выполняет свои функции в точности, как запрограммировано, если атакующий получает правильную роль.
Поэтому вопросы операционной безопасности ключей администратора становятся основной поверхностью атаки в DeFi. По данным аналитиков, более 70% крупных потерь в криптоиндустрии в 2026 году были связаны именно с компрометацией ключей, а не с ошибками в коде. Echo Protocol теперь — типичный пример такого инцидента.
Заём WBTC и вывод через Tornado Cash
Выпуск 1 000 необеспеченных eBTC создал лишь бумажную позицию. Превратить её в реальные деньги оказалось сложнее — и именно низкая ликвидность в экосистеме Monad ограничила ущерб.
Атакующий направил 45 новых eBTC (около $3,5 млн на бумаге) на платформу Curvance для использования в качестве залога. Система не проверяла, обеспечены ли новые eBTC реальным BTC. Под это обеспечение злоумышленник занял примерно 11,29 WBTC — это был единственный крупный рынок займов в биткоине на этой сети, что соответствовало ~$867 700.
Далее следовал стандартный сценарий: WBTC были переведены в Ethereum, обменены на ETH и примерно 384 ETH (около $821 700) отправлены в Tornado Cash для микширования. Оставшиеся 955 eBTC остались на кошельке злоумышленника в сети Monad и стали фактически недоступны из-за отсутствия ликвидности.
Итак, номинальная утрата составила $76,6 млн, а фактические реализованные потери — $816 000, что подтверждается и отчётом Echo, и сторонними трекерами.
Реакция Echo и сжигание токенов
Команда Echo Protocol быстро восстановила контроль над ролью администратора и сожгла 955 eBTC, оставшихся у атакующего, устранив инфляцию на уровне смарт-контракта. Также была приостановлена кроссчейн-функциональность, чтобы исключить дальнейший вывод необеспеченных токенов.
Был проведён апгрейд контракта: функции управления ролями теперь под усиленным контролем, добавлены лимиты скорости на выпуск токенов. Полный отчёт об инциденте ещё не опубликован, но команда его пообещала. Также ведется работа с экспертами по безопасности для отслеживания WBTC, прошедших через Tornado Cash, однако вернуть средства этим способом крайне сложно.
Для пользователей Monad: пока supply eBTC не будет подтвержден и полностью сверён, он считается ненадёжным. Мосты заблокированы, позиции на Curvance с eBTC заморожены до аудита. Если у вас были eBTC до атаки, токены остаются на кошельке, но движение через мост или использование в большинстве сервисов будет невозможно до завершения обновления.
Последствия для DeFi на Monad и Bitcoin-DeFi в целом
Monad — одна из самых заметных новых EVM-совместимых сетей 2025–2026 годов. Это первый крупный инцидент на этой цепочке. Причина не в самой Monad — платформа функционировала корректно, однако инцидент демонстрирует риски построения DeFi-инфраструктуры с нуля.
В основной сети Ethereum при аналогичной атаке можно было бы обналичить гораздо больше средств — ликвидность там существенно выше. На Monad максимальный пул займов в BTC был всего около 11 WBTC, что и ограничило ущерб. Новые сети на ранних этапах менее опасны в долларовом выражении, но более рисковые по уровню доверия, поскольку системы мониторинга и защиты только формируются.
Тенденция в Bitcoin-DeFi аналогичная: такие платформы, как Echo, HEMI (HEMI), Bitlight, Babylon, строят сервисы для получения доходности от BTC через обёрнутые токены. Все они имеют схожие уязвимости: контракт моста или выпуска токенов находится в одной сети, а BTC — в резерве другой, при этом права на выпуск — единственная точка риска. То, что случилось с Echo, в теории может произойти и с любым другим сервисом такого класса.
Реалистичный вывод для индустрии: в 2026 году Bitcoin-DeFi или перейдёт к полностью программируемым решениям выпуска токенов (математическое подтверждение резерва BTC на целевой сети), либо должен принять постоянный риск, связанный с ключами администратора. Срединного пути нет. Выживут те мосты, авторитет выпуска которых невозможно скомпрометировать даже для команды разработчиков.
Выводы для пользователей и разработчиков
Если вы храните обёрнутый BTC в новых сетях, действуйте прагматично:
Проверьте модель управления: кто контролирует функцию выпуска токенов — один ключ, 2 из 3 мультисиг, 5 из 9 с таймлоком, или полностью программное решение? Первые два — крайне рискованны, третий допустим только для небольших сумм, четвёртый — наилучший способ защиты от аналогичных атак.
Оценивайте TVL новых сетей как венчурную инвестицию: если протокол Bitcoin-DeFi работает менее года в новой сети, размер позиции должен учитывать совокупный операционный риск. Размер позиции — единственная защита от атак на ключи администратора — никакая личная безопасность не поможет при уязвимости на стороне протокола.
Следите за лимитами и механизмами экстренного останова: после инцидента в Echo были реализованы лимиты выпуска как базовая мера защиты. Любая платформа обёрнутого BTC, запускающаяся в 2026 году без таких лимитов, выпуска и функций приостановки — ещё не готова к работе. Это теперь норма, а не опция.
Для разработчиков: аудиты смарт-контрактов выявляют ошибки кода, но не защищают от операционных атак на держателей ключей. Механизм управления ролями в контракте должен быть защищён точно так же, как логика выпуска токенов, а возможно — даже сильнее, поскольку именно здесь реализуются основные атаки текущего года.
Часто задаваемые вопросы
Каков реальный ущерб от атаки на Echo Protocol?
Бумажная стоимость выпущенных eBTC — ~$76,6 млн, но фактическая потеря составила около $816 000 в ETH, отправленных через Tornado Cash. Разница обусловлена тем, что ликвидности в системе Monad было недостаточно для обмена фальшивых токенов на реальные активы.
Является ли Monad ненадёжной после этого взлома?
Атака была связана не с ошибкой самой сети Monad, а с управлением ролями в контракте eBTC Echo Protocol: права администратора позволяли выпускать токены без ограничений и подтверждений обеспечения. Любая сеть с аналогичной архитектурой контракта оказалась бы уязвимой.
Что такое компрометация ключа администратора и почему она так часто встречается?
Большинство DeFi-токенов используют ролевую модель доступа, в которой мастер-роль может выдавать права на выпуск новых токенов. Если мастер-роль защищена только одним ключом или слабым мультисигом, любой, получивший контроль над ним, может управлять выпуском. Более 70% крупных потерь в 2026 году были спровоцированы именно этим, а не ошибками кода.
Можно ли вернуть украденные средства?
Echo сожгла 955 eBTC, оставшихся у злоумышленника, устранив основную бумажную инфляцию. 384 ETH, отправленных через Tornado Cash, скорее всего, вернуть не удастся. Пользователям рекомендуется дождаться официального отчёта о сверке supply eBTC на Monad до принятия дальнейших решений.
Итоги
Взлом Echo Protocol — это не история на $76 млн, а пример реализованной атаки на $816 тыс. Ограничения ликвидности на молодой сети существенно уменьшили ущерб, который на более зрелой платформе мог бы достигнуть девятизначных сумм. Ожидаются два ответа отрасли: подробный отчёт Echo о способах компрометации и экстренные обновления аналогичных платформ с внедрением лимитов выпуска и задержек для ролей. Если индустрия оперативно отреагирует, опыт будет учтён. В противном случае следующая атака на более ликвидной сети может привести к гораздо большим потерям, и отсутствия ограничений ликвидности уже не спасёт пользователей и платформу.
Данный материал носит исключительно информационный характер и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютами связана с существенными рисками. Перед принятием инвестиционных решений обязательно проводите собственный анализ.
