یک مهاجم دیفای چیزی شبیه به یکی از بزرگترین سرقت‌های سال را انجام داد، سپس شاهد کاهش مبلغ پرداختی به پول خرد بود.

روز سه‌شنبه، اکو پروتکل تأیید کرد که یک هکر با استفاده از یک کلید مدیریتی لو رفته، تقریباً ۱۰۰۰ توکن eBTC غیرمجاز را در بلاکچین موناد ضرب کرده است، که ارزش کاغذی آن حدود ۷۷ میلیون دلار است. برای چند ساعت، این تعداد ...icoدر توییتر کریپتو به عنوان بزرگترین سوءاستفاده سال ۲۰۲۶، پس از سالی که شاهد ناپدید شدن بیش از یک میلیارد دلار از پروتکل‌های DeFi بوده است، کلاهبرداری کرد. سپس واقعیت درون زنجیره‌ای آغاز شد. بازار Monad eBTC به سادگی نقدینگی کافی برای کسی نداشت که بتواند این مقدار بیت کوین جعلی را بدون سقوط قیمت به خاک سیاه بنشاند. زمانی که مهاجم آنچه را که واقعاً می‌توانست نقد کند، تمام کرد، تقریباً ۸۱۶۰۰۰ دلار اتریوم به دست آورد که برای مبهم کردن مسیر، به Tornado Cash واریز شده بود. Echo کنترل کلیدهای ادمین را دوباره به دست گرفت، ۹۵۵ eBTC باقی مانده در کیف پول مهاجم را سوزاند و به عنوان احتیاط، پل Aptos خود را متوقف کرد تا بفهمد چه مشکلی پیش آمده است.

چگونه یک کلید مدیریتی به یک دکمه‌ی ۷۷ میلیون دلاری تبدیل شد؟

سازوکار اینجا برای هر کسی که در ۱۸ ماه گذشته سوءاستفاده‌های DeFi را دنبال کرده باشد، آشنا است و باید هر کسی را که پروتکلی با این حجم پول را اجرا می‌کند، شرمنده کند. طبق گفته تحلیلگران onchain و بیانیه خود Echo پس از حادثه، یک کلید خصوصی مدیریتی، امتیازات ضرب eBTC را در Monad کنترل می‌کرد، بدون هیچ گونه محافظت چندامضایی، بدون قفل زمانی، بدون محدودیت ضرب در هر بلوک و بدون محدودیت نرخ در صدور. به محض اینکه مهاجم آن کلید را به دست آورد، می‌توانست هر کاری که می‌خواست انجام دهد و این کار را هم کرد. آنها امتیازات ضرب کیف پول خود را اعطا کردند، ۱۰۰۰ eBTC تازه را به گردش درآوردند و بلافاصله سعی کردند از کیف پول خود کسب درآمد کنند. کارآگاهان Onchain ظرف چند دقیقه ضرابخانه مشکوک را شناسایی کردند و قبل از اینکه Echo نوشتن اولین بیانیه خود را تمام کند، زنگ خطر در توییتر ارزهای دیجیتال به صدا درآمد.

ردیابی این مسیر ارزش دارد زیرا نشان می‌دهد که پول واقعاً در کجای دیفای بین زنجیره‌ای وجود دارد. مهاجم ۴۵ eBTC، معادل حدود ۳.۴۵ میلیون دلار روی کاغذ، را به عنوان وثیقه در Curvance واریز کرد. از آنجا، آنها تقریباً ۱۱.۲۹ WBTC، بیت کوین واقعی، به ارزش حدود ۸۶۷۰۰۰ دلار قرض گرفتند. آن WBTC به اتریوم متصل شد، با ETH تعویض شد و ۳۸۴ ETH به Tornado Cash منتقل شد. طبق یک گزارش دقیق تفکیک در نتیجه‌ی این سوءاستفاده، پس از احتساب همه چیز، ضرر واقعی حدود ۸۱۶۰۰۰ دلار بود. ۹۵۵ eBTC دیگر اساساً بی‌ارزش بودند، زیرا هیچ‌کس در طرف دیگر معامله حاضر نبود آنها را با قیمتی نزدیک به ارزش منصفانه بخرد.

دستگاه ضرابخانه جواب داد، اما نقد کردن پول نه.

این بخشی از داستان است که باید تیم‌های DeFi را شب‌ها بیدار نگه دارد، حتی زمانی که پروتکل‌هایشان خالی نمی‌شوند. آسیب‌پذیری به ساده‌ترین شکل ممکن بود، یک نقطه شکست در یک کلید ادمین. استخراج کاملاً کار کرد. قرض گرفتن جواب داد. پل زدن جواب داد. میکسر جواب داد. چیزی که جواب نداد بازار واقعی بود، زیرا Monad هنوز یک زنجیره جوان است و استخر eBTC که روی آن قرار دارد، کوچک بود. مهاجم ۷۷ میلیون دلار بیت کوین مصنوعی ساخت و فقط توانست تقریباً ۱٪ از آن را به ارزش واقعی تبدیل کند. اگر همین تنظیمات در شبکه اصلی اتریوم یا یک بازار عمیق سولانا در انتظار آنها بود، ضررهای تحقق یافته به طرز چشمگیری متفاوت به نظر می‌رسید و Echo امروز بیانیه بسیار متفاوتی می‌نوشت.

پروتکل اکو اصرار دارد که این حادثه منحصر به موناد بوده و هیچ مدرکی دال بر هرگونه سازش در استقرار آپتوس آن وجود ندارد. این تیم اعلام کرد که aBTC در آپتوس و eBTC در موناد دارایی‌های جداگانه و غیرقابل پل زدن هستند و میزان فعلی مواجهه با آپتوس در بازارهای وام‌دهی اکو و استخرهای نقدینگی هایپریون به حدود ۷۱۰۰۰ دلار محدود شده است و هیچ ضرر تایید شده‌ای در آنجا وجود ندارد. با این حال، پل آپتوس به طور کامل متوقف شده است تا این تیم بررسی گسترده‌تری انجام دهد. طبق گفته ردیاب‌های صنعت، این امر آمار سوءاستفاده‌های کریپتو در ماه مه را به دو رقمی می‌رساند و همچنان نیمه اول سال ۲۰۲۶ برای امنیت دیفای بسیار سخت بوده است، به طوری که اکنون سازش‌های کلید ادمین، اشکالات کلاسیک قراردادهای هوشمند را به عنوان علت اصلی سرقت وجوه تحت الشعاع قرار می‌دهند.

آنچه Echo Mess در مورد DeFi در سال 2026 می‌گوید

برای هر کسی که انواع بیت‌کوین‌های پیچیده‌شده را در زنجیره‌های جدیدتر نگه می‌دارد، درس اینجا ناخوشایند است. دارایی‌های پیچیده‌شده فقط به اندازه کلیدهای مدیریتی که آنها را کنترل می‌کنند، ایمن هستند و ظاهراً «کلید مدیریتی روی یک کیف پول داغ» هنوز هم در پروتکل‌هایی که روی ده‌ها میلیون دلار کاربر قرار دارند، مدیریت ریسک قابل قبولی محسوب می‌شود. تنظیمات چندامضایی، قفل‌های زمانی، ذخیره‌سازی کلید سخت‌افزاری و محدودیت قیمت سکه دقیقاً به همین دلیل وجود دارند و دیگر ویژگی‌های اختیاری نیستند. تیم پشت Echo به خاطر اقدام سریع برای قفل کردن مجدد کلیدها و سوزاندن توکن‌های باقی‌مانده که از بدتر شدن آسیب جلوگیری کرد، شایسته تقدیر است. اما اگر این محافظت‌های اولیه از روز اول وجود داشتند، هیچ‌کدام از این‌ها لازم نبود.

نکته مثبت کوچک‌تر، اگر بخواهید آن را این‌طور بنامید، بازار ضعیفی است که حمله ۷۷ میلیون دلاری را به حمله‌ای ۸۱۶۰۰۰ دلاری تبدیل کرد. مهاجم به اندازه کافی خوش شانس بود که یک حفره پیدا کرد و به اندازه کافی بدشانس بود که آن را در زنجیره‌ای پیدا کرد که غنیمت غیرقابل فروش بود. مهاجم بعدی که همین ترفند را در بازاری عمیق‌تر به کار می‌گیرد، این مشکل را نخواهد داشت و کلید ادمین بعدی که بدون محافظت روی یک کیف پول داغ قرار دارد، جایی در آنجاست و فقط منتظر است تا مورد توجه قرار گیرد. کاربرانی که انتخاب می‌کنند به کدام پلتفرم‌های بیت کوین دیفای اعتماد کنند، بهتر است قبل از واریز هر چیزی در مورد مدیریت کلید سوال کنند، زیرا پاسخ بسیار مهم‌تر از آن چیزی است که اکثر صفحات بازاریابی می‌گویند.