19 мая 2026 года злоумышленник получил доступ к администраторскому ключу протокола Echo на сети Monad и незаконно выпустил 1 000 токенов eBTC на свой адрес. Общий ущерб составил около $816 тыс. После обнаружения нарушения Echo восстановила контроль и сжегла оставшиеся у атакующего токены.
Что такое eBTC и почему админ-ключ так опасен
Echo Protocol — это протокол, работающий в сети Monad. Среди прочего он выпускает токен eBTC — это токен, цена которого привязана к цене настоящего Bitcoin. Нормально каждый eBTC должен быть обеспечен реальным BTC в резерве — своего рода расписка на золото.
U контракта есть администратор — специальный аккаунт с широкими правами, который может делать что угодно: выпускать новые токены, обновлять правила, менять параметры. Закрытый ключ от этого аккаунта — один из самых опасных активов в DeFi: если он попадёт в чужие руки, все средства протокола оказываются под угрозой.
Mint — это выпуск новых токенов. Когда администратор вызывает функцию mint(), контракт буквально печатает новые токены из воздуха — без какого-либо обеспечения.
Так злоумышленник выпустил 1 000 eBTC на адрес 0x6A0109d3C5AB56277096C75E8f5D1d1D45243415 — без ни грамма реального BTC за ними. Транзакция: 0x2cc9730738c970b2c2ec1e1a27f38d69590db36fe069fb4ee04abaeb559357c0
Почему это стало возможным
Echo подтвердил: административный ключ был скомпрометирован. То есть приватный ключ, дающий доступ к админ-аккаунту, стал известен неправильным людям. Как именно это произошло — утечка из корпоративных систем, взлом сервера или социальная инженерия — не раскрывается.
Вторая проблема: административный ключ давал полные права на выпуск токенов без никакой задержки и без верхней планки по количеству. В большинстве зрелых протоколов между административными действиями и реальным эффектом есть временная задержка (timelock) — буферный период, дающий время заметить подозрительные действия. Здесь такой защиты, по всей видимости, не было.
Детали расследования: движение средств
1️⃣ 1 000 eBTC были выпущены на адрес атакующего в сети Monad.
2️⃣ Атакующий внёс 45 eBTC в протокол Curvance как залог (залог — это актив, который блокируется в протоколе, чтобы занять деньги под него) и занял 11.29 WBTC (Wrapped Bitcoin — токенизированный биткоин, работающий в EVM-сетях).
3️⃣ WBTC через агрегаторы LI.FI и Relay.link (сервисы для перевода активов между сетями) был отправлен в сеть Ethereum.
4️⃣ Там около 384 ETH ушли в миксер Tornado Cash — сервис, перемешивающий транзакции разных пользователей, чтобы скрыть происхождение денег.
5️⃣ После обнаружения Echo восстановила контроль и сжегла оставшиеся у атакующего ~955 eBTC. Сжичь (burn) — это обратная операция: токены уничтожаются и больше ни у кого не остаются.
Заключение
Инцидент с Echo Protocol напоминает: самый совершенный код бесполезен, если ключ от него утекает. Защита админ-прав — хранение ключей в аппаратных HSM-модулях, таймлоки на опасные операции, мультиподпись (механизм, требующий нескольких согласий) — это то, что делает компрометацию одного ключа недостаточной для открытия протокола.
Похищенные ~$816 тыс. сжечь оставшееся помочь не могла — часть средств уже ушла в Tornado Cash. Команда «КоинКит» продолжает отслеживать движение средств в Ethereum.
