DeFi-протокол Ekubo сообщил об атаке на контракт для обмена токенов в EVM-совместимых блокчейнах. По данным компании Blockaid, предварительный ущерб составил $1,4 млн.

Команда проекта подчеркнула, что инцидент затронул только EVM-версию протокола. Поставщики ликвидности не пострадали, платформа на базе Starknet осталась в безопасности. Пользователям рекомендовали немедленно отозвать все активные разрешения на списание токенов и проявлять осторожность с подозрительными ссылками.

Как работала атака

Специалисты Blockaid установили, что хакер эксплуатировал уязвимость в кастомном вспомогательном контракте Ekubo v2 на Ethereum. Проблема заключалась в механизме обратного вызова (callback), который не проверял легитимность инициатора транзакции.

Вспомогательный контракт позволял злоумышленнику произвольно указывать параметры операции: адрес плательщика, тип токена и сумму списания. При этом система не верифицировала, действительно ли указанный владелец средств согласился на транзакцию.

Если пользователь ранее выдал разрешение ERC-20 этому контракту, атакующий мог подставить его адрес в качестве плательщика, инициировать вызов через Ekubo Core и заставить контракт списать токены функцией transferFrom. Система расчетов протокола затем автоматически переводила похищенные средства на адрес хакера.

Масштаб ущерба

Основатель компании SlowMist под псевдонимом Cos выяснил детали одного из крупнейших случаев кражи. Один из пользователей 158 дней назад выдал бесконечное разрешение (infinite approval) контракту Ekubo на операции с WBTC.

Злоумышленник провел 85 транзакций, каждый раз списывая по 0,2 WBTC с адреса жертвы. В итоге с одного кошелька вывели 17 WBTC — на момент атаки это около $1,4 млн.

Ончейн-аналитик Darkfost отследил движение похищенных средств. Хакер перевел активы на платформу Velora, где обменял их на $404 тыс. в USDC, $403 тыс. в DAI и 239,5 ETH. Затем все средства отправились в криптомиксер Tornado Cash для запутывания следов.

Контекст взломов в крипторынке

Инцидент с Ekubo произошел на фоне роста киберпреступности в криптоиндустрии. Апрель 2026 года установил рекорд по количеству взломов DeFi-протоколов — аналитики DefiLlama зафиксировали более 20 серьезных инцидентов за месяц.

Уязвимости в механизмах обратного вызова и недостаточная проверка разрешений остаются типичными проблемами смарт-контрактов. Эксперты неоднократно призывали разработчиков проводить тщательные аудиты кода перед развертыванием в основной сети.

Что это значит для российских инвесторов

Если вы использовали Ekubo Protocol на Ethereum или других EVM-сетях, проверьте активные разрешения на вашем кошельке через сервис Revoke.cash или аналогичные инструменты. Отзовите все approve для контракта 0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd.

Российским держателям криптовалюты стоит помнить базовые правила безопасности: никогда не давайте бесконечные разрешения (infinite approvals) контрактам, регулярно проверяйте активные разрешения и используйте отдельные кошельки для DeFi-операций. Для торговли цифровыми активами российским пользователям доступны проверенные биржи — Bybit, MEXC и OKX, которые поддерживают регистрацию из РФ и не требуют сложной верификации для базового функционала. Если планируете работать с DeFi, храните там только ту сумму, потерю которой готовы принять.