Echo 协议黑客剖析：价值 7600 万美元的漏洞其实并不是真正的黑客攻击

2026 年 DeFi 损失在四个月内突破 10 亿美元，仅 4 月份就发生了 28 起以上事件，损失达 6.34 亿美元，这是有记录以来最糟糕的一个月。

仅 Drift（2.85 亿美元）和 KelpDAO（2.92 亿美元）就造成 4 月份损失 5.77 亿美元，而且两者都不是代码漏洞。

DefiLlama 的 2026 年黑客攻击报告也说明了同样的情况。

最大的部分是 LayerZero 桥接漏洞 (18%)、管理密钥泄露 (16%)、欺骗令牌 (14%) 和私钥泄露 (11%)。

运营和密钥管理故障加起来占了今年所有被盗价值的大部分。像重入和预言机操纵这样的智能合约错误几乎没有被注意到。

Echo 协议刚刚成为最新的数据点。

5 月 18 日，攻击者闯入 Monad 上的 Echo 协议，为自己打印了 1000 个假 eBTC。账面价值为 7670 万美元。

问题是，假代币不会给你买任何东西，除非你可以用它们换取真实的东西。因此，他们拿了一小块，将其作为抵押品放入 Curvance 的贷款应用程序中，并借用了真正的比特币。

然后将比特币桥接至以太坊，将其兑换为 ETH，并通过 Tornado Cash 运行。最终成交价：约816,000美元。

每个人都称其为 7,670 万美元，但实际数字是 816,000 美元，为什么这两个数字相差如此之大是这里的主要故事。

今天早些时候，Echo Protocol 发现 Monad 上涉及 eBTC 的未经授权活动，导致未经授权的铸币和相关资金损失。我们的调查表明，该问题源于影响 Monad 部署的受损管理密钥。基于当前…

- Echo 协议 (@EchoProtocol_) 2026 年 5 月 19 日

本细目涵盖了目前 DeFi 安全发生的情况、发生的方式以及相关内容。

底线：合同很好。被盗的管理密钥和懒惰的控制导致了其他一切，这就是 2026 年大部分 DeFi 损失发生的原因。

事后剖析（摘要）

Echo 协议并未通过不良智能合约代码被黑客攻击。攻击者窃取或访问了管理密钥。

该管理密钥控制 Echo 的 eBTC 代币在 Monad 上的铸造权。一把私钥就足以创建假的比特币支持的代币。

攻击者铸造了 1,000 个假 eBTC，纸面价值约为 7670 万美元。但这些代币没有真正的 BTC 美元支持。

由于 Monad 流动性稀薄，他们无法全额兑现。因此他们在 Curvance 上使用了 45 个假 eBTC 作为抵押品。

Curvance 接受假 eBTC 作为正常抵押品，并让攻击者借用真正的 WBTC。

攻击者逃走时实际价值约为 816,000 美元，而不是 7,670 万美元。

Echo 随后销毁了剩余的 955 个假 eBTC，并暂停了受影响的功能。

Monad 本身并没有被黑客攻击。 Curvance 的主要协议也没有被直接黑客攻击。失败的原因是 Echo 的管理设置和 Curvance 信任新创建的抵押品。

核心教训：DeFi 攻击者现在的目标更多是密钥、管理员、桥梁、基础设施和团队运营，而不是智能合约错误。

基本的保护可以减少或阻止这种情况：多重签名管理控制、时间锁、铸币上限、速率限制和抵押品检查。

艾科很幸运。攻击者只是未能消耗更多资金，因为没有足够的流动性来兑现假代币。

球员们

以下是发生的事情以及发生方式的完整详情。

回声协议

BTCFi（比特币 DeFi）项目。他们的主张是：用你的 BTC，获取可在 DeFi 中使用的有收益的打包版本。

他们的总部是 Aptos，那里的代币称为 aBTC。 2025 年 5 月，他们在 Aptos 上的 TVL 达到了 8.78 亿美元的峰值，目前约为 2.54 亿美元。

作为 Monad 主网生态系统推动的一部分，Echo 扩展到 Monad。在 Monad 上，他们包装的 $BTC 代币称为 eBTC。

这一点至关重要：aBTC 和 eBTC 是完全独立的、不可桥接的资产。它们是并行部署，没有连接。这次黑客攻击仅影响了 Monad 上的 eBTC。

莫纳德

新型高性能并行 EVM L1。 2025-26 年大肆宣传的连锁店之一。刚刚脱离主网，有许多新部署的协议。

回声就是其中之一。 Monad 本身没有以任何方式受到损害。联合创始人@keoneHD确认网络全程运行正常。这是 Monad 之上的协议级故障。

需要澄清的是，Monad 网络没有受到影响并且运行正常。安全研究人员在审查中确定，由于 @EchoProtocol_ 的 eBTC 漏洞，约 816,000 美元似乎被盗。

— Keone Hon (@keoneHD) 2026 年 5 月 18 日

曲线

部署在 Monad 上的借贷协议。类似于 Aave 的功能，但具有孤立的市场，其中每个抵押资产都存在于自己的孤立池中，因此受损的资产不会影响借贷协议的其余部分。

他们已将 eBTC 列为抵押资产。

龙卷风现金

批准的 $ETH 混合器。你发送$ETH，从另一个钱包取出$ETH，并打破链上踪迹。黑客的标准退出工具。

漏洞利用警报🚨根据@dcfgod，@monad 上的@EchoProtocol_ 已被利用。据报道，攻击者铸造了价值 1,000 美元的 eBTC