Echo Protocol menetti 0,8 miljoonaa – ei 76 miljoonaa kuten otsikot väittivät
- Otsikoiden 76–77 miljoonan dollarin lukema oli luotujen tokenien hetkellinen arvo, ei varastettu summa.
- Monadin toimitusjohtaja Keone Hon kertoo, että hyökkääjä sai rahaksi vain noin 816 000 dollaria.
- Hyökkäys onnistui vuotaneella hallinta-avaimella, ei älysopimuksen koodivirheellä.
- Echo Protocol sai avaimet takaisin ja poltti hyökkääjälle jääneet 955 eBTC:tä.
Hyökkääjä loi tyhjästä noin 1 000 katteetonta synteettistä bitcoin-tokenia, mutta sai rahaksi vain murto-osan. Vika ei ollut älysopimuksen koodissa vaan yhden hallinta-avaimen vuodossa.
Numero 76 miljoonaa kiersi otsikoissa tiistaina aamupäivällä. Todellinen tappio jäi alle prosenttiin siitä. Echo Protocol joutui hyökkäyksen kohteeksi Monad-lohkoketjussa, ja ero raflaavan otsikkoluvun ja toteutuneen menetyksen välillä kertoo synteettisten bitcoin-tokenien todellisesta riskistä paremmin kuin mikään pelkkä dollarisumma.
Hyökkääjä käytti vaarantunutta hallinta-avainta ja loi noin 1 000 kappaletta eBTC-tokeneita, jotka on sidottu bitcoinin arvoon. Yhtään niistä ei ollut katettu oikealla bitcoinilla. Tietoturvayhtiö PeckShield raportoi tapauksesta ensimmäisenä X-palvelussa, ja sen alustava arvio noin 77 miljoonan dollarin suuruisesta hyökkäyksestä päätyi sellaisenaan uutisotsikoihin.
Echo Protocol Monad-lohkoketjussa näyttää joutuneen hyökkäyksen kohteeksi. Hyökkääjä loi noin 1 000 eBTC:tä (noin 77 miljoonaa dollaria) ja alkoi siirtää varoja.
– PeckShield (@PeckShieldAlert) May 19, 2026
Echo Protocol on bitcoiniin keskittyvä hajautetun rahoituksen protokolla, joka tarjoaa tuottoa ja likviditeettiä bitcoin-omistuksille synteettisten BTC-tokenien kautta. Sen kotiketju on Aptos, mutta toiminta oli laajentunut myös Monadiin.
Mihin se 76 miljoonaa katosi
Luku 76–77 miljoonaa oli luotujen tokenien hetkellinen markkina-arvo, ei summa, jonka hyökkääjä sai itselleen. Katteettomilla tokeneilla ei voi tehdä mitään ennen kuin ne vaihtaa johonkin oikeasti arvokkaaseen. Juuri siihen hyökkäys tyssäsi.
Hyökkääjä talletti noin 45 eBTC:tä vakuudeksi Curvance-lainamarkkinalle ja lainasi sitä vastaan noin 11,3 käärittyä bitcoinia (wBTC). Ne siirrettiin Ethereumiin, vaihdettiin noin 384 etheriin ja ohjattiin Tornado Cash -sekoituspalvelun läpi. Erän arvo oli noin 821 700 dollaria. Siinä se. Loppu jäi paperille.
– Todellisuudessa varastettiin vain noin 816 000 dollaria, kertoo Monad-lohkoketjun toimitusjohtaja Keone Hon.
Loput, noin 955 eBTC:tä eli paperilla noin 73 miljoonaa dollaria, jäivät hyökkääjän haltuun käyttökelvottomina. Echo Protocol ilmoitti polttaneensa ne saatuaan hallinta-avaimet takaisin.
Vika oli avaimessa, ei koodissa
Viime päivien DeFi-välikohtaukset ovat olleet siltahyökkäyksiä, joissa hyödynnetään validoimatonta viestiä. Echo Protocolin tapaus on toisenlainen. Mikään älysopimuksen koodivirhe ei ollut syynä, vaan operatiivinen avaimen vuoto.
Miten yksi vuotanut avain riitti näin laajaan vahinkoon? Eräs kehittäjä huomautti, että hallintaroolilla oli vain yksi allekirjoitus. Käytössä ei ollut aikalukkoa eikä rajoitusta sille, kuinka paljon tai kuinka nopeasti tokeneita voi luoda. Yksi avain avasi siis kaiken. Echo ei ole toistaiseksi kertonut, miten avain päätyi vääriin käsiin.
Toipuminen eteni varsin nopeasti. Echo sai hallinta-avaimet takaisin, poltti jäljellä olleet 955 eBTC:tä ja päivitti Monad-sopimuksen. Lisäksi se keskeytti Monadin ketjujenvälisen toiminnon ja pysäytti varotoimena myös Aptos-sillan, vaikka silta itsessään ei ollut vaarantunut.
Curvance keskeytti kärsineen markkinan, ja sen omat sopimukset pysyivät koskemattomina. ECHO-token laski silti yli 11 prosenttia, kun sijoittajat myivät paniikissa.
Tämä on kolmas tuntuva DeFi-välikohtaus viidessä päivässä THORChainin ja Verus–Ethereum-sillan jälkeen. Toteutuneelta tappioltaan se on silti murto-osa vuoden suurimmista, joissa Drift ja KelpDAO menettivät kumpikin yli 270 miljoonaa dollaria. Tapaus muistuttaa, että synteettisen BTC-tokenin riski ei useinkaan piile matematiikassa vaan siinä, kuka pitää hallussaan luontiavaimia.
