Echo Protocol Hack Autopsy: Der 76-Millionen-Dollar-Exploit, der nicht wirklich ein Hack war

Die DeFi-Verluste im Jahr 2026 überstiegen in vier Monaten die Marke von 1 Milliarde US-Dollar, wobei allein im April 634 Millionen US-Dollar durch mehr als 28 Vorfälle verloren gingen, der schlimmste Monat seit Beginn der Aufzeichnungen.

Allein Drift (285 Millionen US-Dollar) und KelpDAO (292 Millionen US-Dollar) waren für 577 Millionen US-Dollar der Verluste im April verantwortlich, und bei keinem von beiden handelte es sich um einen Code-Exploit.

Die Hack-Analyse von DefiLlama im Jahr 2026 sagt dasselbe.

Die größten Anteile sind LayerZero-Bridge-Exploits (18 %), kompromittierte Admin-Schlüssel (16 %), Spoof-Tokens (14 %) und Kompromittierungen privater Schlüssel (11 %).

Zusammengenommen machen Betriebs- und Schlüsselverwaltungsfehler den Großteil aller gestohlenen Werte in diesem Jahr aus. Intelligente Vertragsfehler wie Wiedereintritt und Oracle-Manipulation werden kaum registriert.

Das Echo-Protokoll wurde gerade zum neuesten Datenpunkt.

Am 18. Mai brach ein Angreifer in das Echo-Protokoll auf Monad ein und druckte 1.000 gefälschte eBTC für sich selbst. Auf dem Papier sind das 76,7 Millionen US-Dollar.

Das Problem ist, dass man mit gefälschten Token nichts kauft, es sei denn, man kann sie gegen etwas Echtes eintauschen. Also nahmen sie einen kleinen Teil, legten ihn als Sicherheit in die Kredit-App von Curvance und liehen sich dafür echte Bitcoins.

Anschließend wurde dieser Bitcoin mit Ethereum überbrückt, gegen $ETH getauscht und über Tornado Cash abgewickelt. Endergebnis: rund 816.000 US-Dollar.

Jeder nennt es 76,7 Millionen Dollar, aber die tatsächliche Zahl beträgt 816.000 Dollar, und warum diese beiden Zahlen so weit auseinander liegen, ist hier die Hauptgeschichte.

Heute früh hat Echo Protocol unbefugte Aktivitäten im Zusammenhang mit eBTC auf Monad identifiziert, die zu unbefugtem Prägen und damit verbundenem Geldverlust führten. Unsere Untersuchung ergab, dass das Problem von einem kompromittierten Admin-Schlüssel herrührte, der die Monad-Bereitstellung beeinträchtigte. Basierend auf aktuellen…

– Echo-Protokoll (@EchoProtocol_), 19. Mai 2026

Diese Aufschlüsselung deckt ab, was passiert ist, wie und was es derzeit über die DeFi-Sicherheit aussagt.

Fazit: Der Vertrag war in Ordnung. Ein gestohlener Admin-Schlüssel und faule Kontrollen haben alles andere verursacht, und so ereignen sich die meisten DeFi-Verluste im Jahr 2026.

Post Mortem (Die Zusammenfassung)

Das Echo-Protokoll wurde nicht durch fehlerhaften Smart-Contract-Code gehackt. Der Angreifer hat einen Admin-Schlüssel gestohlen oder darauf zugegriffen.

Dieser Administratorschlüssel kontrollierte die Prägerechte für den eBTC-Token von Echo auf Monad. Ein privater Schlüssel reichte aus, um gefälschte Bitcoin-gestützte Token zu erstellen.

Der Angreifer prägte 1.000 gefälschte eBTC im Wert von etwa 76,7 Millionen US-Dollar auf dem Papier. Aber diese Token hatten keine echte BTC-Unterstützung.

Sie konnten nicht den gesamten Betrag auszahlen, da die Liquidität von Monad gering war. Also verwendeten sie 45 gefälschte eBTC als Sicherheit für Curvance.

Curvance akzeptierte den gefälschten eBTC als normale Sicherheit und ließ den Angreifer echtes WBTC ausleihen.

Der Angreifer entkam mit einem realen Wert von etwa 816.000 US-Dollar, nicht 76,7 Millionen US-Dollar.

Echo verbrannte später die restlichen 955 gefälschten eBTC und pausierte betroffene Funktionen.

Monad selbst wurde nicht gehackt. Auch das Hauptprotokoll von Curvance wurde nicht direkt gehackt. Der Fehler lag an der Admin-Einrichtung von Echo und daran, dass Curvance neu geprägten Sicherheiten vertraute.

Die Kernlektion: DeFi-Angreifer zielen jetzt mehr auf Schlüssel, Administratoren, Bridges, Infrastruktur und Teamoperationen als auf Smart-Contract-Bugs ab.

Grundlegende Schutzmaßnahmen hätten dies verringern oder stoppen können: Multisig-Administratorkontrolle, Zeitsperren, Mint-Caps, Ratenlimits und Sicherheitenprüfungen.

Echo hatte Glück. Der Angreifer schaffte es lediglich nicht, noch mehr abzuschöpfen, weil nicht genügend Liquidität vorhanden war, um die gefälschten Token auszuzahlen.

Die Spieler

Hier ist die vollständige Aufschlüsselung dessen, was passiert ist und wie.

Echo-Protokoll

Ein BTCFi-Projekt (Bitcoin DeFi). Ihr Vorschlag: Nehmen Sie Ihr $BTC und erhalten Sie eine renditeträchtige, verpackte Version davon, die in DeFi funktioniert.

Ihre Heimatbasis ist Aptos, wo der Token aBTC heißt. Im Mai 2025 erreichten sie auf Aptos einen TVL-Spitzenwert von 878 Millionen US-Dollar, der derzeit bei rund 254 Millionen US-Dollar liegt.

Echo wurde im Rahmen des Mainnet-Ökosystem-Vorstoßes von Monad auf Monad ausgeweitet. Auf Monad heißt ihr verpackter $BTC-Token eBTC.

Das ist entscheidend: aBTC und eBTC sind völlig getrennte, nicht überbrückbare Vermögenswerte. Es handelt sich um parallele Bereitstellungen, die nicht miteinander verbunden sind. Der Hack traf nur eBTC auf Monad.

Monade

Ein neues hochleistungsfähiges parallelisiertes EVM L1. Eine der gehypten Ketten von 2025-26. Direkt außerhalb des Mainnets, mit vielen Protokollen, die frisch bereitgestellt werden.

Echo ist einer von ihnen. Monad selbst wurde in keiner Weise gefährdet. Mitbegründer @keoneHD bestätigte, dass das Netzwerk durchgehend normal lief. Es handelte sich um einen Fehler auf Protokollebene zusätzlich zu Monad.

Zur Klarstellung: Das Monad-Netzwerk ist nicht betroffen und funktioniert normal. Sicherheitsforscher haben in ihrer Überprüfung festgestellt, dass durch diesen Exploit des eBTC von @EchoProtocol_ offenbar etwa 816.000 US-Dollar gestohlen wurden

– Keone Hon (@keoneHD) 18. Mai 2026

Krümmung

Ein auf Monad bereitgestelltes Kreditprotokoll. Funktioniert wie Aave, jedoch mit isolierten Märkten, in denen sich jeder Sicherheitenwert in einem eigenen isolierten Pool befindet, sodass ein kompromittierter Vermögenswert den Rest des Kreditprotokolls nicht infizieren kann.

Sie hatten eBTC als Sicherheit aufgeführt.

Tornado-Bargeld

Sanktionierter $ETH-Mixer. Sie senden $ETH ein, erhalten $ETH aus einer anderen Wallet und unterbrechen die Spur in der Kette. Standard-Exit-Tool für Hacker.

Exploit-Alarm 🚨Laut @dcfgod wurde @EchoProtocol_ auf @monad ausgenutzt. Berichten zufolge hat der Angreifer eBTC im Wert von 1.000 $ geprägt