Взлом протокола Echo: из системы вывели eBTC почти на $77 млн

Криптоиндустрия пополнила невесёлую статистику крупных инцидентов: протокол Echo подвергся атаке, в результате которой злоумышленники получили контроль над токенами eBTC на сумму порядка $76,7 млн. Цифру по горячим следам зафиксировали аналитики, специализирующиеся на безопасности блокчейна.

Реакция команды: признание и заморозка

Разработчики Echo не стали затягивать с публичной реакцией — факт взлома подтверждён, расследование запущено. В качестве первой защитной меры команда остановила все межсетевые (cross-chain) транзакции: это стандартная процедура, призванная не дать атакующим продолжить «размывать» украденные активы по нескольким сетям.

Как отмывались деньги: маршрут злоумышленников

По данным PeckShield, часть похищенного хакеры уже попытались легализовать через цепочку DeFi-операций. Восстановленный аналитиками маршрут выглядит так:

• в протокол кредитования Curvance внесли 45 eBTC (≈ $3,45 млн) в качестве залога;
• под этот залог взяли заём — 11,3 wBTC (≈ $868 тыс.) в «обёрнутых» биткоинах;
• полученные монеты перевели в сеть Ethereum;
• обменяли их на эфир и отправили 384 ETH (≈ $822 тыс.) в миксер Tornado Cash — сервис, размывающий историю переводов.

Несмотря на эту операцию, основная масса украденного по-прежнему находится в распоряжении атакующих. Согласно панели DeBank, на их адресах остаётся 955 eBTC — это около $73 млн, или примерно 95% всей похищенной суммы. Иными словами, основная фаза вывода средств ещё не наступила.

Curvance: «аномалия зафиксирована, но контракты чистые»

Платформа Curvance, оказавшаяся вовлечённой в схему отмывания, поспешила обозначить свою позицию. Её представители подтвердили, что зафиксировали «аномалию» на рынке Echo eBTC, однако собственные смарт-контракты Curvance не были скомпрометированы. На время разбирательства соответствующий рынок приостановлен.

Monad — в стороне от инцидента

Поскольку Echo связан с экосистемой блокчейна Monad, рынок ожидаемо отреагировал вопросом: затронута ли сама сеть? Ответ дал её сооснователь Кионе Хон, написавший в X, что «сеть Monad не затронута и работает в штатном режиме». То есть инцидент локализован на уровне отдельного протокола, а не базовой инфраструктуры.

Версия о причинах: дело не в коде, а в ключе

Наиболее вероятную природу атаки описал разработчик под ником Marioo. По его оценке, корень проблемы — не уязвимость смарт-контракта, а компрометация приватного ключа администратора. На это указывает сразу несколько косвенных признаков:

• во время атаки использовалась единственная подпись администратора — никакой мультиподписи, требующей подтверждений от нескольких сторон;
• в протоколе отсутствовала временная блокировка операций (timelock), которая дала бы сообществу шанс заметить и остановить подозрительную транзакцию;
• не было установлено лимита на выпуск eBTC или иных ограничений эмиссии токенов.

Такая комбинация — «один ключ = неограниченные права» — давно считается архитектурным антипаттерном в DeFi. Если предположение верно, перед нами не сложный технический эксплойт, а классическая компрометация доступа: получив контроль над привилегированным аккаунтом, атакующий смог действовать в рамках штатной логики системы.

Echo — не одиночный случай: тревожный месяц для DeFi

Инцидент с Echo выглядит особенно показательно на фоне общей статистики последних недель. За последний месяц жертвами хакеров стали как минимум 12 протоколов, среди которых:

• THORChain;
• мост к Ethereum от Verus Protocol;
• Transit Finance;
• TrustedVolumes;
• Ekubo.

Атака на Verus случилась буквально за день до инцидента с Echo — оттуда вывели свыше $11,5 млн. На этом фоне $76,7 млн от Echo превращают новый эпизод в один из крупнейших в текущей волне.

Что из этого следует

История с Echo возвращает индустрию к разговору, который ведётся уже не первый год: технологическая надёжность блокчейна сама по себе ничего не значит, если ключи от «административного входа» хранятся без должной защиты. Аудит смарт-контрактов, мультиподпись, timelock, лимиты эмиссии — это не дополнительные опции, а минимальный гигиенический набор для любого протокола, работающего с пользовательскими активами. Пока эти меры остаются опциональными, истории, подобные Echo, будут повторяться с регулярностью, на которую уже почти перестают обращать внимание — до следующих восьмизначных цифр в сводках.