Хакер похитил $1,4 млн через уязвимость в контракте Ekubo

#DeFi#Киберпреступления Хакер похитил $1,4 млн через уязвимость в контракте Ekubo 06.05.2026 Мирослава Андреева

Хакер атаковал контракт для обмена токенов на EVM-сетях DeFi-протокола Ekubo. Об этом сообщила команда проекта. 

There is an active security incident on Ekubo swap router contract on EVM chains only. Liquidity providers are not affected. Starknet is not affected.

We are investigating the scope of the issue, but to be safe revoke all outstanding approvals: https://t.co/9vHDLVjQWP

— Ekubo (@EkuboProtocol) May 5, 2026

Разработчики подчеркнули, что поставщики ликвидности не пострадали. Starknet-версия площадки также остается в безопасности. 

Пользователям рекомендовали отозвать все действующие разрешения и предупредили о возможном фишинге. 

По данным Blockaid, атака затронула кастомный вспомогательный Ekubo в Ethereum. Эксперты оценили предварительный ущерб в $1,4 млн.

🚨Blockaid's exploit detection system has identified an on-going exploit on an @EkuboProtocol custom extension contract on Ethereum.

$1.4M drained so far.

Ekubo users are not at risk. Only users who have approved this specific v2 contract as a spender (any token) are at…

— Blockaid (@blockaid_) May 5, 2026

Риску подвержены только те пользователи, кто ранее выдал разрешение на списание токенов конкретному v2-контракту.

Причина взлома 

В Blockaid связали эксплойт с ошибкой в механизме обратного вызова. Вспомогательный контракт позволял злоумышленнику подставлять в запрос произвольные значения: кто платит, какой токен и в каком объеме.

Контракт не проверял, действительно ли указанный плательщик инициировал операцию или согласился выступить в этой роли. 

При наличии старого разрешения ERC-20 атакующий мог указать адрес жертвы как плательщика, инициировать вызов через Ekubo Core и заставить контракт списать токены через функцию transferFrom. Механизм расчетов Ekubo Core затем переводил украденную сумму хакеру.

Основатель SlowMist под псевдонимом Cos уточнил, что один из пользователей дал бесконечное разрешение контракту Ekubo 158 дней назад. Атакующий 85 раз инициировал списание по 0,2 WBTC — в итоге с адреса вывели 17 WBTC.

Ekubo 有关合约被恶意利用：https://t.co/imw4AKey5t

原因是如果用户之前将相关代币授权给：
0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd
如这位用户 0x765DEC 的这笔 WBTC 无限授权（158 天前）：https://t.co/2Ubo35aBZJ

攻击者可指定已授权用户作为 payer，在 payCallback 中让该合约调用… https://t.co/FDwvrJ23oR

— Cos(余弦)😶‍🌫️ (@evilcos) May 6, 2026

Ончейн-аналитик под ником Darkfost сообщил, что хакер отправил похищенные средства в Velora, обменял их на $404 000 в USDC, $403 000 в DAI и 239,5 ETH, а затем отправил в криптомиксер Tornado Cash.

If you use Ekubo, be cautious.Their EkuboSwap router contract has been exploited.

The attacker managed to execute 85 transactions, each transferring 0.2 $WBTC to a single address.

The 17 WBTC were then sent to Velora and swapped into $404K $USDC, $403K $DAI, and 239.5 $ETH.… https://t.co/vj9pubFrzJ pic.twitter.com/kD5zgWyUNP

— Darkfost (@Darkfost_Coc) May 5, 2026

Напомним, апрель 2026 года побил рекорд по числу взломов в криптоиндустрии. Аналитики DefiLlama насчитали более 20 инцидентов за месяц. 

Крупнейшим стал эксплойт протокола Kelp на $292 млн. На втором месте — атака на Drift с ущербом в $280 млн.

Безопасных мест в DeFi не осталось? Чему учит кейс Aave и Kelp

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Facebook X Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

Материалы по теме

В Aave потребовали от суда снять арест с похищенных хакерами 30 000 ETH

В КНДР назвали обвинения во взломе криптопроектов «абсурдной клеветой»

Апрель побил рекорд по числу взломов в криптоиндустрии

ДАО Arbitrum проголосует за передачу $71 млн фонду DeFi United

Хакер вывел из протокола Wasabi более $5 млн 

Standard Chartered сохранил прогноз по DeFi после взлома Kelp

В ZetaChain раскрыли детали кроссчейн-атаки на $334 000

LayerZero выделит 10 000 ETH в рамках инициативы DeFi United

Инициатива DeFi United привлекла более $300 млн после взлома Kelp