Хакер атаковал контракт для обмена токенов на EVM-сетях DeFi-протокола Ekubo. Об этом сообщила команда проекта.
There is an active security incident on Ekubo swap router contract on EVM chains only. Liquidity providers are not affected. Starknet is not affected.We are investigating the scope of the issue, but to be safe revoke all outstanding approvals: https://t.co/9vHDLVjQWP— Ekubo (@EkuboProtocol) May 5, 2026
Разработчики подчеркнули, что поставщики ликвидности не пострадали. Starknet-версия площадки также остается в безопасности.
Пользователям рекомендовали отозвать все действующие разрешения и предупредили о возможном фишинге.
По данным Blockaid, атака затронула кастомный вспомогательный Ekubo в Ethereum. Эксперты оценили предварительный ущерб в $1,4 млн.
🚨Blockaid's exploit detection system has identified an on-going exploit on an @EkuboProtocol custom extension contract on Ethereum. $1.4M drained so far.Ekubo users are not at risk. Only users who have approved this specific v2 contract as a spender (any token) are at…— Blockaid (@blockaid_) May 5, 2026
Риску подвержены только те пользователи, кто ранее выдал разрешение на списание токенов конкретному v2-контракту.
Причина взлома
В Blockaid связали эксплойт с ошибкой в механизме обратного вызова. Вспомогательный контракт позволял злоумышленнику подставлять в запрос произвольные значения: кто платит, какой токен и в каком объеме.
Контракт не проверял, действительно ли указанный плательщик инициировал операцию или согласился выступить в этой роли.
При наличии старого разрешения ERC-20 атакующий мог указать адрес жертвы как плательщика, инициировать вызов через Ekubo Core и заставить контракт списать токены через функцию transferFrom. Механизм расчетов Ekubo Core затем переводил украденную сумму хакеру.
Основатель SlowMist под псевдонимом Cos уточнил, что один из пользователей дал бесконечное разрешение контракту Ekubo 158 дней назад. Атакующий 85 раз инициировал списание по 0,2 WBTC — в итоге с адреса вывели 17 WBTC.
Ekubo 有关合约被恶意利用:https://t.co/imw4AKey5t原因是如果用户之前将相关代币授权给:0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd 如这位用户 0x765DEC 的这笔 WBTC 无限授权(158 天前):https://t.co/2Ubo35aBZJ攻击者可指定已授权用户作为 payer,在 payCallback 中让该合约调用… https://t.co/FDwvrJ23oR— Cos(余弦)😶🌫️ (@evilcos) May 6, 2026
Ончейн-аналитик под ником Darkfost сообщил, что хакер отправил похищенные средства в Velora, обменял их на $404 000 в USDC, $403 000 в DAI и 239,5 ETH, а затем отправил в криптомиксер Tornado Cash.
If you use Ekubo, be cautious.Their EkuboSwap router contract has been exploited.The attacker managed to execute 85 transactions, each transferring 0.2 $WBTC to a single address.The 17 WBTC were then sent to Velora and swapped into $404K $USDC, $403K $DAI, and 239.5 $ETH.… https://t.co/vj9pubFrzJ pic.twitter.com/kD5zgWyUNP— Darkfost (@Darkfost_Coc) May 5, 2026
Напомним, апрель 2026 года побил рекорд по числу взломов в криптоиндустрии. Аналитики DefiLlama насчитали более 20 инцидентов за месяц.
Крупнейшим стал эксплойт протокола Kelp на $292 млн. На втором месте — атака на Drift с ущербом в $280 млн.
https://forklog.com/exclusive/bezopasnyh-mest-v-defi-ne-ostalos-chemu-uchit-kejs-aave-i-kelp
