Bitcoin DeFi-платформа Echo Protocol столкнулась с эксплойтом в своем деплойменте на Monad. По данным команды, атакующий несанкционированно сминтил 1 000 eBTC на сумму около $76,7–77 млн, однако фактический ущерб протокол оценивает примерно в $816 000.
Echo Protocol называет предварительной причиной инцидента скомпрометированный admin key. Команда отдельно подчеркнула, что сама сеть Monad не была затронута и продолжает работать в штатном режиме.
Инцидент был замечен 19 мая 2026 года. PeckShield сообщил об атаке, ссылаясь на ончейн-исследователя dcfgod. После этого Echo Protocol подтвердила несанкционированную активность в Monad-деплойменте и заявила, что проблема, по предварительным данным, связана с компрометацией административного ключа.
Схема атаки выглядела так: злоумышленник сминтил 1 000 eBTC, затем внес 45 eBTC примерно на $3,45 млн в Curvance, занял около 11,29 WBTC на $867 700, перевел WBTC в Ethereum, обменял активы на ETH и отправил 384 ETH примерно на $821 700 в Tornado Cash.
Для DeFi это важный эпизод не только из-за суммы, но и из-за роли административных ключей. Даже если базовая сеть работает нормально, компрометация ключа в отдельном деплойменте может дать атакующему контроль над критической логикой протокола. Похожая логика риска есть и в других случаях, когда уязвимость в инфраструктуре становится точкой входа для атаки.
Почему сумма $76 млн не равна реальному ущербу
В заголовках инцидент можно описывать как эксплойт на $76 млн, потому что именно такой была номинальная стоимость несанкционированно сминченных 1 000 eBTC. Но Echo Protocol утверждает, что подтвержденный ущерб составил около $816 000.
Разница связана с тем, что большая часть сминченных токенов, по словам команды, не была выведена. Echo Protocol заявила, что восстановила контроль над admin keys и сожгла оставшиеся 955 eBTC, находившиеся у атакующего.
Какие меры приняла Echo Protocol
После обнаружения инцидента команда заявила о возврате контроля над административными ключами и ограничении рисков для других направлений. Echo Protocol приостановила cross-chain-функции для Monad, поставила на паузу Aptos bridge, остановила Echo Aptos Lending и начала обновлять EVM-series bridge deployments.
По оценке Echo Protocol, инцидент выглядит изолированным для Monad-деплоймента. Признаков компрометации Aptos команда не обнаружила. Текущая экспозиция Aptos, по ее данным, ограничена примерно $71 000 в Echo lending markets и Hyperion liquidity pools, подтвержденных потерь на Aptos нет.
Главный пробел — способ компрометации admin key. Пока не раскрыто, был ли это фишинг, утечка доступа, ошибка операционной безопасности или другой вектор атаки. Также неясно, сможет ли Echo Protocol вернуть средства, которые были отправлены через Tornado Cash.
На момент публикации нет подробного технического постмортема с адресами, контрактами, последовательностью транзакций и независимым аудиторским заключением. Не уточнено и то, будут ли пользователи получать компенсации, если ущерб затронул их позиции.
Инцидент снова показывает, что в DeFi важны не только смарт-контракты, но и операционная безопасность: хранение ключей, управление доступами, мониторинг подозрительных действий и быстрые аварийные процедуры. Это та же зона риска, где защита каналов доступа может быть не менее важна, чем аудит кода.
Echo Protocol позиционируется как инфраструктурный слой для агрегации Bitcoin-ликвидности и доходности в DeFi. Такие протоколы работают с обернутыми представлениями биткоина, lending-механиками, кроссчейн-мостами и пулами ликвидности.
Именно сочетание нескольких цепочек, мостов и залоговых активов делает подобные атаки особенно чувствительными: ошибка или компрометация в одном участке может быстро затронуть несколько протоколов. Поэтому для криптопроектов критичны не только аудит и мониторинг, но и базовая цифровая гигиена команды, работающей с доступами.