Isang DeFi attacker ang nagsagawa ng tila isa sa mga pinakamalaking pagnanakaw ngayong taon, pagkatapos ay nasaksihan ang pagliit ng payout patungo sa pagbabago ng chump.

Noong Martes, kinumpirma ng Echo Protocol na isang hacker ang gumamit ng isang nakompromisong administrative key upang mag-mint ng humigit-kumulang 1,000 hindi awtorisadong eBTC token sa Monad blockchain, isang itinago na may halagang papel na humigit-kumulang $77 milyon. Sa loob ng ilang oras, ang bilang na iyon ay...icoNag-usap-usap tungkol sa crypto Twitter bilang susunod na mega exploit sa 2026, kasunod ng isang taon na nakakita na ng mahigit isang bilyong dolyar na pagkawala mula sa mga protocol ng DeFi. Pagkatapos ay dumating ang realidad sa on-chain. Ang merkado ng Monad eBTC ay sadyang walang sapat na likididad para sa sinuman na maglabas ng ganoon karaming pekeng Bitcoin nang hindi bumagsak ang presyo. Nang matapos ng umaatake ang aktwal nilang mailalabas na pera, ang natanto na kita ay humigit-kumulang $816,000 sa ETH, na idineposito sa Tornado Cash upang guluhin ang landas. Nabawi ng Echo ang kontrol sa mga admin key, sinunog ang natitirang 955 eBTC na nasa wallet ng umaatake, at itinigil ang Aptos bridge nito bilang pag-iingat habang inaayos nito kung ano ang nangyaring mali.

Paano Naging $77 Milyong Mint Button ang Isang Admin Key

Pamilyar ang mga mekanismo rito sa sinumang nakasubaybay sa mga DeFi exploit sa nakalipas na 18 buwan, at dapat itong ikahiya ng sinumang nagpapatakbo ng isang protocol na may ganitong kalaking pera. Ayon sa mga onchain analyst at sa pahayag ni Echo pagkatapos ng insidente, isang administratibong pribadong key ang kumokontrol sa mga pribilehiyo ng pagmimina ng eBTC sa Monad, nang walang proteksyon sa multisig, walang timelock, walang per-block mint cap, at walang limitasyon sa rate sa pag-isyu. Kapag nakuha na ng attacker ang key na iyon, magagawa na nila ang anumang gusto nila, at ginawa nga nila. Ipinagkaloob nila ang kanilang sariling mga pribilehiyo sa pagmimina ng wallet, gumawa ng 1,000 sariwang eBTC, at agad na sinubukang pagkakitaan ang bag. Nakita ng mga detektib ng Onchain ang kahina-hinalang mint sa loob ng ilang minuto at tumunog ang alarma sa crypto Twitter bago pa matapos isulat ng Echo ang unang pahayag nito.

Ang landas na ito ay sulit na subaybayan dahil ipinapakita nito kung saan talaga umiiral ang pera sa cross-chain DeFi. Ang umaatake ay nagdeposito ng 45 eBTC, humigit-kumulang $3.45 milyon sa papel, sa Curvance bilang kolateral. Mula roon, humiram sila ng humigit-kumulang 11.29 WBTC, totoong Bitcoin, na nagkakahalaga ng humigit-kumulang $867,000. Ang WBTC na iyon ay itinali sa Ethereum, ipinagpalit sa ETH, at 384 ETH ang ipinadala sa Tornado Cash. Ayon sa isang detalyadong... pagkasira Sa pagsasamantala, ang aktwal na natantong pagkalugi ay umabot sa humigit-kumulang $816,000 nang maisama ang lahat. Ang iba pang 955 eBTC ay halos walang halaga, dahil walang sinuman sa kabilang panig ng kalakalan ang handang bumili ng mga ito sa anumang malapit sa patas na halaga.

Gumana ang Mint. Hindi naman ang pag-cash out.

Ito ang bahagi ng kwento na dapat magpatulog sa mga DeFi team, kahit na hindi ang kanilang mga protocol ang nauubos. Ang kahinaan ay kasing simple ng maaaring mangyari, isang punto ng pagkabigo sa isang admin key. Gumana nang perpekto ang paggawa ng minting. Gumana ang paghiram. Gumana ang pag-bridge. Gumana ang mixer. Ang hindi gumana ay ang aktwal na merkado, dahil ang Monad ay isang batang chain pa rin at ang eBTC pool na nakapatong dito ay manipis. Ang attacker ay nagtayo ng $77 milyong tumpok ng synthetic Bitcoin at halos 1% lamang nito ang kaya nitong i-convert sa totoong halaga. Kung ang parehong setup ay naghihintay sa kanila sa Ethereum mainnet o sa isang malalim na merkado ng Solana, ang mga natanto na pagkalugi ay magmumukhang lubhang naiiba, at si Echo ay magsusulat ng ibang-iba na pahayag ngayon.

Iginiit ng Echo Protocol na ang insidente ay nakahiwalay sa Monad, nang walang ebidensya ng anumang kompromiso sa pag-deploy nito sa Aptos. Sinabi ng team na ang aBTC sa Aptos at eBTC sa Monad ay magkahiwalay at hindi maaaring i-bridge na mga asset, na ang kasalukuyang exposure sa Aptos ay limitado sa humigit-kumulang $71,000 sa mga merkado ng pagpapautang ng Echo at mga liquidity pool ng Hyperion, nang walang kumpirmadong pagkalugi doon. Gayunpaman, ang Aptos bridge ay ganap na nahinto habang nagsasagawa ang team ng mas malawak na pagsusuri. Dahil dito, ang kabuuang bilang ng mga crypto exploit noong Mayo ay umabot sa dobleng digit ayon sa mga tagasubaybay ng industriya, na nagpapatuloy sa naging brutal na unang kalahati ng 2026 para sa seguridad ng DeFi, kung saan ang mga pangunahing kompromiso ng admin ay nalampasan na ngayon ang mga klasikong bug sa smart contract bilang pangunahing sanhi ng mga ninakaw na pondo.

Ang Sinasabi ng Echo Mess Tungkol sa DeFi sa 2026

Para sa sinumang may hawak ng mga nakabalot na variant ng Bitcoin sa mga mas bagong chain, ang aral dito ay hindi komportable. Ang mga nakabalot na asset ay kasing ligtas lamang ng mga admin key na kumokontrol sa mga ito, at ang "admin key sa isang hot wallet" ay tila itinuturing pa ring katanggap-tanggap na pamamahala ng peligro sa mga protocol na may sampu-sampung milyong dolyar ng gumagamit. Ang mga multisig setup, timelock, hardware key storage, at mint caps ay umiiral para sa eksaktong kadahilanang ito, at hindi na ang mga ito opsyonal na feature. Ang team sa likod ng Echo ay nararapat na bigyan ng papuri sa mabilis na pagkilos upang i-lock muli ang mga key at sunugin ang mga natitirang token, na pumigil sa paglala ng pinsala. Ngunit wala sana sa mga iyon ang kinakailangan kung ang mga pangunahing proteksyong iyon ay naipatupad na noong unang araw.

Ang mas maliit na positibong aspeto, kung gusto mo itong tawagin nang ganoon, ay ang manipis na merkado na nagpabago sa isang $77 milyong pag-atake tungo sa $816,000. Pinalad ang umaatake na makahanap ng butas at sa kasamaang palad ay mahanap ito sa isang kadena kung saan ang mga nakaw ay hindi maibebenta. Ang susunod na umaatake na gagawa ng parehong trick sa isang mas malalim na merkado ay hindi magkakaroon ng problemang iyon, at ang susunod na admin key na nakaupo nang walang proteksyon sa isang hot wallet ay naroon sa kung saan, naghihintay lamang na mapansin. Ang mga gumagamit na pumipili kung aling mga platform ng Bitcoin DeFi ang pagkakatiwalaan ay makabubuting magtanong tungkol sa pamamahala ng key bago magdeposito ng anuman, dahil ang sagot ay mas mahalaga kaysa sa ipinahihiwatig ng karamihan sa mga pahina ng marketing.