Новости ⚡️ Взлом Echo Protocol на $77 млн: компрометация админ-ключа на Monad привела к несанкционированному

[MariSokol369]

Сектор децентрализованных биткоин-финансов (BTCFi) столкнулся с очередным сокрушительным ударом по безопасности.

Протокол Echo, ориентированный на предоставление ликвидности и генерацию доходности на основе синтетического Биткоина, подвергся хакерской атаке на общую сумму $77 млн.

Как сообщили ончейн-аналитики компании PeckShield, злоумышленник сумел перехватить контроль над административным ключом (Admin Key) команды в новой сети Monad, что позволило ему напрямую манипулировать логикой смарт-контракта.

Анатомия атаки: от печати токенов до миксера Tornado Cash​

Инцидент развивался по классическому сценарию использования уязвимостей централизованного управления (единой точки отказа в виде приватных ключей разработчиков):

1. Несанкционированная эмиссия: Получив доступ к скомпрометированному админ-ключу в блокчейне Monad, хакер вызвал функцию минта и в один клик выпустил 1000 фейковых токенов eBTC на сумму около $77 млн.
2. Эксплуатация借貸-протоколов: Имея на руках огромный объем ничем не обеспеченных синтетических активов, злоумышленник перевел часть из них (45 eBTC стоимостью около $3,45 млн) на денежный рынок DeFi-платформы Curvance. Используя напечатанные токены в качестве легитимного залога, он занял под них реальную ликвидность — 11,29 Wrapped Bitcoin (WBTC) стоимостью около $868 000.
3. Мосты и отмывание: Похищенные WBTC были немедленно отправлены через межсетевой мост в основную сеть Ethereum, где хакер конвертировал их в ETH. Финальным этапом стала отправка 384 ETH (около $820 000) в децентрализованный криптомиксер Tornado Cash для полного сокрытия дальнейших следов транзакций.

Экстренная реакция Echo: сжигание улик и заморозка мостов​

Благодаря оперативной фиксации аномалии со стороны ончейн-исследователей, команде Echo Protocol удалось предотвратить катастрофу полного опустошения резервов:

• Контр-сжигание: Разработчики сумели восстановить контроль над скомпрометированным контрактом и принудительно сожгли оставшиеся 955 eBTC, которые хакер еще удерживал на своем кошельке и не успел пустить в оборот DeFi-рынков. Это позволило жестко ограничить финальный фактический ущерб для экосистемы.
• Блокада инфраструктуры: Протокол приостановил всю кроссчейн-функциональность внутри развертывания Monad и обновил соответствующий контракт, переработав систему прав доступа к чувствительным функциям.
• Защита Aptos-моста: В качестве меры предосторожности команда полностью остановила работу своего главного моста в сети Aptos на время проведения масштабного аудита безопасности. Разработчики уточнили, что основная архитектура на Aptos не пострадала, а уязвимость затронула исключительно экспериментальное расширение на Monad, запущенное относительно недавно.

Системный кризис безопасности DeFi​

Взлом Echo Protocol стал очередным звеном в беспрецедентной цепочке кибератак, захлестнувших DeFi-индустрию. Ранее уязвимости в децентрализованной логике Solana стоили протоколу Drift более $270 млн потерь. Спустя короткое время произошел крупнейший взлом года — атака на мост ликвидного рестейкинга KelpDAO на $292 млн, в результате которой Wrapped Ether оказался заблокирован в двух десятках блокчейнов. Вкупе с еще одним недавним эксплойтом кроссчейн-инфраструктуры на $11 млн, общие потери сектора за последние недели превысили полмиллиарда долларов.

Повторяющиеся инциденты с Echo Protocol и KelpDAO наглядно подсвечивают две самые уязвимые зоны современного Web3-пространства: централизованное управление административными ключами (Single Point of Failure) и слабую архитектуру межсетевых мостов. Ситуация, при которой компрометация одного приватного ключа позволяет напечатать $77 млн из воздуха, доказывает, что многие DeFi-проекты пренебрегают мультиподписями (Multisig) и временными задержками (Timelocks) ради быстрого масштабирования в новых сетях вроде Monad. До тех пор, пока индустрия не перейдет на стандарты полностью распределенного и неизменяемого управления, институциональный капитал будет воспринимать экосистемы доходности как зону экстремального риска, отдавая предпочтение консервативному удержанию спотовых активов.

 

[ForumOK]

Тут самое показательное даже не сумма, а причина: опять админ-ключ. Как только в “децентрализованном” протоколе один ключ может минтить активы и менять критичную логику, вся эта децентрализация заканчивается в момент его компрометации.

История с Echo хорошо показывает старую проблему DeFi: смарт-контракты могут быть хоть трижды аудированы, но если управление централизовано, то это просто красивая оболочка над обычной точкой отказа. Хакеру даже не нужно искать сложный баг в коде, достаточно получить доступ к ключу — и дальше уже печать токенов, залог, вывод ликвидности, мост, миксер. Схема почти шаблонная.

То, что команда успела сжечь 955 eBTC, конечно, спасло ситуацию от полного развала, но сам факт такого “ручного” вмешательства тоже о многом говорит. Если можно так быстро сжечь активы и заморозить инфраструктуру, значит контроль у команды огромный. Для экстренных случаев это плюс, для идеи trustless-финансов — жирный минус.

Отдельно напрягает связка “новая сеть + синтетический BTC + кроссчейн + денежные рынки”. Это почти максимальная концентрация рисков в одном месте. Любой сбой в правах доступа или мостах сразу размазывается по нескольким протоколам.

Вывод старый, но рынок его упорно игнорирует: без multisig, timelock, лимитов на эмиссию, пауз с прозрачными правилами и нормальной сегментации прав доступа такие проекты остаются не финансовой инфраструктурой, а полигоном. Пока это не станет стандартом, крупный капитал действительно будет держаться подальше от всех этих “доходностей на BTC”.