Autopsia del hack del protocolo Echo: el exploit de 76 millones de dólares que en realidad no fue un hack

Las pérdidas de DeFi en 2026 superaron los mil millones de dólares en cuatro meses, y solo en abril se gastaron 634 millones de dólares en más de 28 incidentes, el peor mes registrado.

Drift (285 millones de dólares) y KelpDAO (292 millones de dólares) por sí solos representaron 577 millones de dólares de las pérdidas de abril, y ninguno de los dos fue un exploit de código.

El desglose del hackeo de DefiLlama en 2026 dice lo mismo.

Las porciones más grandes son los exploits del puente LayerZero (18%), las claves de administración comprometidas (16%), los tokens falsos (14%) y los compromisos de claves privadas (11%).

Las fallas combinadas, operativas y de administración de claves representan la mayor parte del valor robado este año. Los errores de los contratos inteligentes, como la reentrada y la manipulación de Oracle, apenas se registran.

Echo Protocol acaba de convertirse en el último punto de datos.

El 18 de mayo, un atacante irrumpió en el protocolo Echo de Monad e imprimió 1.000 eBTC falsos para sí mismo. Eso son 76,7 millones de dólares en papel.

El problema es que los tokens falsos no te compran nada a menos que puedas cambiarlos por algo real. Así que tomaron una pequeña parte, la colocaron en la aplicación de préstamos de Curvance como garantía y pidieron prestado Bitcoin real.

Luego conectó ese Bitcoin a Ethereum, lo cambió por $ETH y lo ejecutó a través de Tornado Cash. Recaudación final: alrededor de 816.000 dólares.

Todo el mundo dice que son 76,7 millones de dólares, pero la cifra real es 816.000 dólares, y la historia principal aquí es por qué esas dos cifras están tan separadas.

Hoy temprano, Echo Protocol identificó actividad no autorizada que involucraba eBTC en Monad que resultó en acuñación no autorizada y pérdida de fondos asociada. Nuestra investigación indica que el problema se originó a partir de una clave de administración comprometida que afectaba la implementación de Monad. Basado en la actualidad…

– Protocolo Echo (@EchoProtocol_) 19 de mayo de 2026

Este desglose cubre lo que sucedió, cómo y qué dice sobre la seguridad DeFi en este momento.

La conclusión: el contrato estaba bien. Una clave de administrador robada y controles perezosos hicieron todo lo demás, y así es como se producirán la mayoría de las pérdidas de DeFi en 2026.

Post mortem (el resumen)

Echo Protocol no fue pirateado mediante un código de contrato inteligente incorrecto. El atacante robó o accedió a una clave de administrador.

Esa clave de administrador controlaba los derechos de acuñación del token eBTC de Echo en Monad. Una clave privada fue suficiente para crear tokens falsos respaldados por Bitcoin.

El atacante acuñó 1.000 eBTC falsos, con un valor aproximado de 76,7 millones de dólares en papel. Pero esos tokens no tenían un respaldo real de $BTC.

No pudieron retirar el monto total porque la liquidez de Monad era escasa. Entonces utilizaron 45 eBTC falsos como garantía en Curvance.

Curvance aceptó el eBTC falso como garantía normal y permitió que el atacante tomara prestado WBTC real.

El atacante escapó con alrededor de 816.000 dólares en valor real, no 76,7 millones de dólares.

Posteriormente, Echo quemó los 955 eBTC falsos restantes y detuvo las funciones afectadas.

Monad en sí no fue pirateado. El protocolo principal de Curvance tampoco fue pirateado directamente. La falla se debió a la configuración administrativa de Echo y a que Curvance confió en la garantía recién creada.

La lección principal: los atacantes de DeFi ahora apuntan a claves, administradores, puentes, infraestructura y operaciones de equipo más que a errores de contratos inteligentes.

Las protecciones básicas podrían haber reducido o detenido esto: control de administración multifirma, bloqueos de tiempo, límites de menta, límites de tasas y controles de garantía.

Eco tuvo suerte. El atacante sólo no pudo drenar más porque no había suficiente liquidez para retirar los tokens falsos.

Los jugadores

Aquí está el desglose completo de lo que sucedió y cómo.

Protocolo de eco

Un proyecto BTCFi (Bitcoin DeFi). Su propuesta: tome su $ BTC y obtenga una versión envuelta que genere rendimiento y que funcione en DeFi.

Su base de operaciones es Aptos, donde el token se llama aBTC. Alcanzaron un TVL máximo de $ 878 millones en Aptos en mayo de 2025, y actualmente rondan los $ 254 millones.

Echo se expandió a Monad como parte del impulso del ecosistema de la red principal de Monad. En Monad, su token $BTC envuelto se llama eBTC.

Esto es fundamental: aBTC y eBTC son activos completamente separados y no puenteables. Son implementaciones paralelas, no conectadas. El hack afectó a eBTC solo en Monad.

mónada

Un nuevo EVM L1 paralelizado de alto rendimiento. Una de las cadenas publicitadas de 2025-26. Recién salido de la red principal, con muchos protocolos implementados nuevos.

Eco es uno de ellos. La propia Monad NO se vio comprometida de ninguna manera. El cofundador @keoneHD confirmó que la red funcionó normalmente en todo momento. Fue una falla a nivel de protocolo además de Monad.

Para aclarar, la red Monad no se ve afectada y está funcionando normalmente. Los investigadores de seguridad en su revisión han determinado que ~$816,000 parecen haber sido robados como resultado de este exploit del eBTC de @EchoProtocol_.

– Keone Hon (@keoneHD) 18 de mayo de 2026

curvatura

Un protocolo de préstamos implementado en Monad. Funciona como Aave pero con mercados aislados, donde cada activo colateral vive en su propio grupo aislado para que un activo comprometido no pueda infectar el resto del protocolo de préstamo.

Habían incluido eBTC como activo colateral.

Tornado en efectivo

Mezclador de $ETH autorizado. Envías $ETH, obtienes $ETH de una billetera diferente y rompes el rastro en la cadena. Herramienta de salida estándar para piratas informáticos.

Alerta de explotación 🚨Según @dcfgod, @EchoProtocol_ en @monad ha sido explotado. Según se informa, el atacante acuñó 1000 $eBTC