Протокол Echo на Monad потерял $76 млн из-за уязвимости в minting

Криптовалютный рынок зафиксировал третий крупный взлом за четыре дня. Протокол Echo на блокчейне Monad подвергся серьезному нарушению безопасности 19 мая 2026 года после того, как злоумышленник скомпрометировал приватный ключ администратора контракта eBTC. 

😨又来？Echo Protocol 被黑：私钥裸奔，7600万美元凭空铸出

Echo Protocol 在 Monad 链上遭到攻击，eBTC 合约管理员私钥被盗，黑客借此授权自己无限铸币权限。

黑客在 Monad 上铸造了 1000 枚 eBTC（约 7664 万美元），将其中 45 枚存入 Curvance 作为抵押，借出 11.3 枚 WBTC（约 86.7… https://t.co/pUKPYxcvTq pic.twitter.com/68PpV2x2Qi

— PANews丨APP全面升级 (@PANews) May 19, 2026

Используя этот доступ, злоумышленник создал 1,000 eBTC на сумму примерно $76.64 миллиона из ничего. Этот инцидент следует за взломом на $10.7 миллиона THORChain 15 мая и кражей $11.5 миллиона Verus-Ethereum Bridge 18 мая. Новости криптовалют сегодня показывают мрачную тенденцию, и Echo Protocol стал его последней жертвой.

Как развивались события атаки

Коренная причина была ужасающе простой. Роль администратора контракта eBTC контролировалась одним приватным ключом без защиты мультиподписи и без временной блокировки. Как только злоумышленник скомпрометировал этот ключ, все произошло быстро.

Сначала злоумышленник получил DEFAULT_ADMIN_ROLE. Затем он отозвал оригинального администратора и предоставил себе MINTER_ROLE. Обеспечив авторитет на создание токенов, он создал 1,000 eBTC за незначительные газовые сборы, примерно $0.0003. Это $76.64 миллиона, созданные за менее чем долю цента.

Злоумышленник затем действовал быстро. Он внес 45 eBTC, стоимостью примерно $3.45 миллиона, в Curvance, кредитный протокол, работающий на Monad. Используя этот залог, он занял 11.3 WBTC на сумму примерно $867,000. Он перевел WBTC на Ethereum, обменял его на примерно 385 ETH и внес эти средства в Tornado Cash для отмывки доходов. Злоумышленник все еще держит 955 eBTC, стоимостью примерно $73.2 миллиона, в своем кошельке. Однако эти токены являются необеспеченными синтетическими активами без реального BTC-залогового обеспечения.

Два протокола потерпели неудачу одновременно

Новости Monad вокруг этого инцидента проясняют один важный момент. Сам блокчейн Monad не был скомпрометирован. Это была операционная ошибка на уровне протокола, а не уязвимость на уровне цепочки.

Сошлись две ошибки безопасности. Во-первых, контроль администратора Echo Protocol с одним ключом не имел мультиподписи, временной блокировки, лимита на создание токенов и ограничений по ставкам. Во-вторых, Curvance принял только что созданный синтетический eBTC в качестве залога без проверки источника или подтверждения наличия. Этот разрыв в совместимости позволил злоумышленнику извлечь реальную ценность до того, как кто-либо смог вмешаться.

Curvance теперь остался с плохим долгом из-за недостаточно обеспеченной позиции. Поставщики ликвидности WBTC несут основные финансовые потери от занятых средств. Echo Protocol подтвердил инцидент публично и приостановил все кросс-цепочные транзакции, пока продолжается расследование.

Что это значит для инвесторов и разработчиков

Для инвесторов три взлома на сумму более $98 миллионов за четыре дня требуют внимания. Среда безопасности DeFi в мае 2026 года крайне опасна. Каждая атака выявила разные уязвимости. Ошибка реализации TSS в THORChain, пробел в проверке источника суммы в Verus и компрометация администратора с одним ключом в Echo Protocol.

Для разработчиков взлом Echo Protocol дает три неоспоримых урока. Роли администратора на создаваемых активах должны требовать мультиподписи. Временные блокировки должны защищать критические привилегированные функции. Кредитные протоколы должны проверять происхождение залога и подтверждать целостность поставок перед принятием синтетических активов.

Новости Tornado Cash вокруг этого инцидента добавляют знакомое измерение. Инструмент отмывания денег продолжает оставаться предпочтительным выходом для атакующих DeFi, несмотря на продолжающееся регуляторное давление. У индустрии есть технические знания, чтобы предотвратить каждую из этих атак. Вопрос в том, будут ли протоколы внедрять их до следующего взлома.