ایکو پروٹوکول ہیک آٹوپسی: 76 ملین ڈالر کا استحصال جو واقعی ہیک نہیں تھا۔

2026 DeFi نقصانات چار مہینوں میں 1 بلین ڈالر سے تجاوز کر گئے، صرف اپریل میں 28+ واقعات میں 634 ملین ڈالر کا نقصان ہوا، جو کہ ریکارڈ پر بدترین مہینہ ہے۔

Drift ($285M) اور KelpDAO ($292M) نے ہی اپریل کے نقصانات میں سے $577 ملین کا حصہ ڈالا، اور نہ ہی کوڈ کا استحصال ہوا۔

DefiLlama کا 2026 ہیک بریک ڈاؤن ایک ہی چیز بتاتا ہے۔

سب سے بڑی سلائسیں LayerZero bridge exploits (18%)، سمجھوتہ شدہ ایڈمن کیز (16%)، سپوف ٹوکنز (14%)، اور پرائیویٹ کلید سمجھوتہ (11%) ہیں۔

مشترکہ، آپریشنل اور کلیدی انتظامی ناکامیاں اس سال چوری ہونے والی تمام قیمتوں میں سے زیادہ تر ہیں۔ سمارٹ کنٹریکٹ کیڑے جیسے دوبارہ داخلہ اور اوریکل ہیرا پھیری بمشکل رجسٹر ہوتے ہیں۔

ایکو پروٹوکول ابھی تازہ ترین ڈیٹا پوائنٹ بن گیا ہے۔

18 مئی کو، ایک حملہ آور نے مونڈ پر ایکو پروٹوکول میں گھس کر اپنے لیے 1,000 جعلی ای بی ٹی سی پرنٹ کیے۔ یہ کاغذ پر $76.7M ہے۔

مسئلہ یہ ہے کہ جعلی ٹوکنز آپ کو اس وقت تک کچھ نہیں خریدتے جب تک کہ آپ انہیں حقیقی چیز کے لیے تجارت نہ کر سکیں۔ لہذا انہوں نے ایک چھوٹا سا حصہ لیا، اسے کروینس کی قرض دینے والی ایپ میں بطور کولیٹرل ڈال دیا، اور اس کے خلاف اصلی بٹ کوائن ادھار لیا۔

پھر اس Bitcoin کو Ethereum سے ملایا، اسے $ETH میں تبدیل کیا، اور اسے Tornado Cash کے ذریعے چلایا۔ فائنل ٹیک: لگ بھگ $816,000۔

ہر کوئی اسے 76.7 ملین ڈالر کہہ رہا ہے لیکن اصل تعداد $816,000 ہے، اور یہ دونوں نمبر اب تک کیوں الگ ہیں یہاں کی اصل کہانی ہے۔

آج کے اوائل میں، ایکو پروٹوکول نے مونڈ پر ای بی ٹی سی سے متعلق غیر مجاز سرگرمی کی نشاندہی کی جس کے نتیجے میں غیر مجاز ٹکنالوجی اور اس سے متعلقہ فنڈ کا نقصان ہوا۔ ہماری تحقیقات سے پتہ چلتا ہے کہ یہ مسئلہ مونڈ کی تعیناتی کو متاثر کرنے والی ایڈمن کلید سے پیدا ہوا ہے۔ موجودہ کی بنیاد پر…

— ایکو پروٹوکول (@EchoProtocol_) 19 مئی 2026

اس خرابی کا احاطہ کرتا ہے کہ کیا ہوا، کیسے، اور یہ ابھی DeFi سیکیورٹی کے بارے میں کیا کہتا ہے۔

پایان لائن: معاہدہ ٹھیک تھا. ایک چوری شدہ ایڈمن کی کلید اور سست کنٹرول نے باقی سب کچھ کیا، اور اسی طرح 2026 کے زیادہ تر DeFi نقصانات ہو رہے ہیں۔

پوسٹ مارٹم (خلاصہ)

ایکو پروٹوکول کو خراب سمارٹ کنٹریکٹ کوڈ کے ذریعے ہیک نہیں کیا گیا تھا۔ حملہ آور نے ایڈمن کی کلید چرائی یا اس تک رسائی حاصل کی۔

اس ایڈمن کلید نے مونڈ پر ایکو کے ای بی ٹی سی ٹوکن کے مائٹنگ کے حقوق کو کنٹرول کیا۔ ایک پرائیویٹ کلید جعلی بٹ کوائن کے حمایت یافتہ ٹوکن بنانے کے لیے کافی تھی۔

حملہ آور نے 1,000 جعلی ای بی ٹی سی تیار کیے، جن کی قیمت کاغذ پر تقریباً 76.7 ملین ڈالر تھی۔ لیکن ان ٹوکنز کی کوئی حقیقی $BTC حمایت نہیں تھی۔

وہ پوری رقم کیش آؤٹ نہیں کر سکے کیونکہ مونڈ لیکویڈیٹی پتلی تھی۔ لہذا انہوں نے 45 جعلی ای بی ٹی سی کو کروینس پر کولیٹرل کے طور پر استعمال کیا۔

Curvance نے جعلی eBTC کو عام ضمانت کے طور پر قبول کیا اور حملہ آور کو حقیقی WBTC ادھار لینے دیا۔

حملہ آور تقریباً 816,000 ڈالر لے کر فرار ہو گیا جس کی اصل قیمت 76.7 ملین ڈالر نہیں تھی۔

Echo نے بعد میں باقی 955 جعلی eBTC کو جلا دیا اور متاثرہ فنکشنز کو روک دیا۔

موناد خود ہیک نہیں ہوا تھا۔ کروینس کا مرکزی پروٹوکول بھی براہ راست ہیک نہیں ہوا تھا۔ یہ ناکامی ایکو کے ایڈمن سیٹ اپ اور کروینس کی جانب سے نئے ٹکسال شدہ کولیٹرل پر بھروسہ کرنے سے ہوئی۔

بنیادی سبق: ڈی فائی حملہ آور اب کلیدوں، ایڈمنز، پلوں، انفراسٹرکچر اور ٹیم کے آپریشنز کو سمارٹ کنٹریکٹ بگز سے زیادہ نشانہ بنا رہے ہیں۔

بنیادی تحفظات اس کو کم یا روک سکتے تھے: ملٹی سیگ ایڈمن کنٹرول، ٹائم لاک، منٹ کیپس، شرح کی حدیں، اور کولیٹرل چیک۔

ایکو خوش قسمت ہو گیا۔ حملہ آور صرف مزید نکالنے میں ناکام رہا کیونکہ جعلی ٹوکنز کو کیش آؤٹ کرنے کے لیے کافی لیکویڈیٹی نہیں تھی۔

کھلاڑی

یہاں کیا ہوا، اور کیسے ہوا اس کی مکمل خرابی ہے۔

ایکو پروٹوکول

ایک BTCFi (Bitcoin DeFi) پروجیکٹ۔ ان کی پچ: اپنا $BTC لیں، اس کا ایک ییلڈ بیئرنگ لپیٹے ہوئے ورژن حاصل کریں جو DeFi میں کام کرتا ہو۔

ان کا ہوم بیس Aptos ہے، جہاں ٹوکن کو aBTC کہا جاتا ہے۔ انہوں نے مئی 2025 میں Aptos پر $878 ملین کی چوٹی TVL کو نشانہ بنایا، جو فی الحال تقریباً 254 ملین ڈالر کے قریب بیٹھا ہے۔

مونڈ کے مین نیٹ ایکو سسٹم پش کے حصے کے طور پر ایکو نے مونڈ تک توسیع کی۔ Monad پر، ان کے لپیٹے ہوئے $BTC ٹوکن کو eBTC کہتے ہیں۔

یہ اہم ہے: اے بی ٹی سی اور ای بی ٹی سی مکمل طور پر الگ الگ، نان برج ایبل اثاثے ہیں۔ وہ متوازی تعینات ہیں، منسلک نہیں ہیں۔ ہیک نے صرف مونڈ پر ای بی ٹی سی کو نشانہ بنایا۔

موناد

ایک نیا اعلیٰ کارکردگی کا متوازی EVM L1۔ 2025-26 کی ہائپڈ چینز میں سے ایک۔ مین نیٹ سے بالکل باہر، بہت سارے پروٹوکول تازہ تعینات ہیں۔

ایکو ان میں سے ایک ہے۔ موناد نے خود کسی بھی طرح سے سمجھوتہ نہیں کیا تھا۔ شریک بانی @keoneHD نے تصدیق کی کہ نیٹ ورک عام طور پر ہر جگہ چلتا ہے۔ یہ مونڈ کے اوپر پروٹوکول کی سطح کی ناکامی تھی۔

واضح کرنے کے لیے، Monad نیٹ ورک متاثر نہیں ہوا ہے اور عام طور پر کام کر رہا ہے سیکیورٹی کے محققین نے اپنے جائزے میں یہ طے کیا ہے کہ @EchoProtocol_ کے eBTC کے اس استحصال کے نتیجے میں ~$816,000 چوری ہو گئے ہیں۔

— Keone Hon (@keoneHD) 18 مئی 2026

کروینس

مونڈ پر ایک قرض دینے والا پروٹوکول تعینات ہے۔ Aave جیسے فنکشنز لیکن الگ تھلگ مارکیٹوں کے ساتھ، جہاں ہر کولیٹرل اثاثہ اپنے اپنے سائلڈ پول میں رہتا ہے لہذا سمجھوتہ شدہ اثاثہ باقی قرض دینے والے پروٹوکول کو متاثر نہیں کر سکتا۔

انہوں نے ای بی ٹی سی کو ضمانتی اثاثہ کے طور پر درج کیا تھا۔

ٹورنیڈو کیش

منظور شدہ $ETH مکسر۔ آپ $ETH بھیجتے ہیں، آپ کو ایک دوسرے بٹوے سے $ETH نکالتے ہیں، اور آن چین ٹریل کو توڑ دیتے ہیں۔ ہیکرز کے لیے معیاری ایگزٹ ٹول۔

ایکسپلائٹ الرٹ 🚨 @dcfgod کے مطابق، @monad پر @EchoProtocol_ کا استحصال کیا گیا ہے۔ حملہ آور نے مبینہ طور پر 1,000 $eBTC مالیت کی