Хакер вивів $1,4 млн через вразливість у контракті Ekubo

Хакер атакував контракт для обміну токенів на EVM-ланцюгах DeFi-протоколу Ekubo. Про це повідомила команда проєкту.

На роутері свопів Ekubo у мережах EVM триває інцидент безпеки. Постачальники ліквідності не постраждали. Starknet не зачеплено.

Ми з’ясовуємо масштаб проблеми, але для безпеки відкликайте всі чинні дозволи: https://t.co/9vHDLVjQWP

— Ekubo (@EkuboProtocol) May 5, 2026

Розробники наголосили, що постачальники ліквідності не постраждали. Starknet-версія платформи також залишається в безпеці.

Користувачам порадили відкликати всі чинні дозволи та попередили про можливий фішинг.

За даними Blockaid, атака зачепила кастомний допоміжний контракт Ekubo в мережі Ethereum. Експерти оцінили попередні збитки у $1,4 млн.

🚨Система виявлення експлойтів Blockaid зафіксувала триваючу атаку на кастомний контракт-розширення @EkuboProtocol в Ethereum.

Досі виведено $1,4 млн.

Користувачам Ekubo нічого не загрожує. У зоні ризику лише ті, хто схвалив цей конкретний v2-контракт як спендера (будь-який токен)…

— Blockaid (@blockaid_) May 5, 2026

Ризики стосуються лише тих користувачів, які раніше видали дозвіл на списання токенів цьому конкретному v2-контракту.

Причина зламу

У Blockaid пов’язали злам із помилкою в механізмі зворотного виклику. Допоміжний контракт дозволяв зловмиснику підставляти у запит довільні значення: хто платить, який токен і в якому обсязі.

Контракт не перевіряв, чи справді зазначений платник ініціював операцію або погодився виконувати цю роль.

За наявності старого дозволу ERC-20 зловмисник міг вказати адресу жертви як платника, ініціювати виклик через Ekubo Core і змусити контракт списати токени через функцію transferFrom. Розрахунковий механізм Ekubo Core потім переказував украдену суму хакеру.

Засновник SlowMist під псевдонімом Cos уточнив, що один із користувачів надав безкінечний дозвіл контракту Ekubo 158 днів тому. Хакер 85 разів ініціював списання по 0,2 WBTC — у підсумку з адреси вивели 17 WBTC.

Контракт, пов’язаний з Ekubo, був зловмисно використаний: https://t.co/imw4AKey5t

Причина в тому, що якщо користувач раніше надав дозвіл на відповідні токени для:
0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd
як у цього користувача 0x765DEC — безкінечний дозвіл на WBTC (158 днів тому): https://t.co/2Ubo35aBZJ

Зловмисник може вказати користувача з наданим дозволом як payer і в payCallback змусити цей контракт викликати… https://t.co/FDwvrJ23oR

— Cos(余弦)😶‍🌫️ (@evilcos) May 6, 2026

Ончейн-аналітик під ніком Darkfost повідомив, що зловмисник відправив викрадені кошти у Velora, обміняв їх на $404 000 в USDC, $403 000 у DAI та 239,5 ETH, а потім відправив у криптоміксер Tornado Cash.

Якщо ви користуєтеся Ekubo, будьте обережні. Їхній контракт EkuboSwap router зламано.

Зловмисник провів 85 транзакцій, кожна з яких переказувала по 0,2 $WBTC на одну адресу.

Потім 17 WBTC було відправлено до Velora і обміняно на $404 тис. $USDC, $403 тис. $DAI та 239,5 $ETH.… https://t.co/vj9pubFrzJ pic.twitter.com/kD5zgWyUNP

— Darkfost (@Darkfost_Coc) May 5, 2026

Нагадаємо, квітень 2026 року встановив антирекорд за кількістю зламів у криптоіндустрії. Аналітики DefiLlama нарахували понад 20 інцидентів за місяць.

Найбільшим став експлойт протоколу Kelp на $292 млн. На другому місці — атака на Drift із збитками в $280 млн.