Echo Protocol “Hack” Sinaliksik: $76M Exploit Na Hindi Pala Totoong Hack

Umabot na sa higit $1 bilyon ang DeFi losses ngayong 2026 sa loob lang ng apat na buwan, kung saan ang April lang ay tumama ng matinding $634 milyon na losses mula sa 28+ incidents — pinakamatindi sa kasaysayan.

Malaking parte ng April losses ay galing lang sa Drift ($285M) at KelpDAO ($292M) — $577 milyon agad ito, at hindi galing sa code exploit ang mga insidenteng ‘to.

Tugma ang hack breakdown ng DefiLlama para sa 2026 sa findings na ito.

Pinakamalaki ang LayerZero bridge exploits (18%), compromised admin keys (16%), spoof tokens (14%), at mga kaso ng private key compromise (11%).

Kung pagsasamahin, operational at key management fails ang sanhi sa karamihan ng buong halaga ng mga nanakaw ngayong taon. Ang mga bug sa smart contract gaya ng re-entrancy at oracle manipulation, halos wala pang epekto sa overall stats.

Pinakabagong sample dito sa trend ang Echo Protocol.

Noong May 18, isang attacker nakapasok sa Echo Protocol sa Monad para mag-print ng 1,000 fake eBTC para sa sarili nila. Kung susumahin sa paper value, $76.7 milyon sana ito.

Ang problema, hindi mo rin naman magagamit ang fake tokens kung hindi mo ito maititrade sa kapalit na totoong asset. Kaya ang ginawa ng attacker, dinagdagan niya pa ng twist: nilagay niya ang maliit na portion sa Curvance lending app bilang collateral, tapos umutang ng totoong Bitcoin gamit ito.

Dinala naman niya ang Bitcoin papuntang Ethereum, pinalit ng ETH, at pinadaan sa Tornado Cash. Buong na-cash out niya, nasa $816,000 lang.

Halos lahat tumatawag dito na $76.7 milyon na hack, pero ang totoong halagang nakuha ay $816,000 lang — ‘yan ang pinaka-mahalagang detalye dito.

Earlier today, Echo Protocol identified unauthorized activity involving eBTC on Monad that resulted in unauthorized minting and associated fund loss.

Our investigation indicates the issue originated from a compromised admin key affecting the Monad deployment. Based on current…
— Echo Protocol (@EchoProtocol_) May 19, 2026

Iko-cover ng breakdown na ‘to kung paano talaga nangyari ‘to, ano ang mga pagkakamali, at anong insights ukol sa DeFi security ngayon ang kailangan nating matutunan.

Bottom line: Walang problema ang contract. Ang nanakaw na admin key at sobrang luwag na security controls ang dahilan ng buong pangyayari — ‘yan din ang madalas na ugat ng matinding DeFi losses ng 2026.

Post Mortem (Summary)

Hindi dahil sa bad smart contract code kaya nahack ang Echo Protocol. Ang attacker ay nakakuha (o nagnakaw) ng admin key.
Itong admin key na ‘to ang nagco-control ng minting rights ng Echo eBTC token sa Monad. Isang private key lang, puwedeng gumawa agad ng fake tokens na kunwari ay backed ng Bitcoin.
Naka-mint ang attacker ng 1,000 peke na eBTC, na sa papel ay nasa $76.7 milyon. Pero walang totoong Bitcoin backing ang mga tokens na ‘to.
Hindi niya ma-cash out ang buong amount kasi manipis ang liquidity ng Monad. Kaya 45 fake eBTC lang ang ginamit bilang collateral sa Curvance.
Tinuring ng Curvance na legit collateral ang fake eBTC kaya pinautang nila ng totoong WBTC ang attacker.
Ang totoong nakalabas ng attacker, nasa $816,000 na lang, hindi $76.7 milyon.
Sunod, sinunog (burn) ni Echo ang natitirang 955 fake eBTC at ni-pause ang lahat na apektadong functions.
Hindi nahack ang Monad mismo. Hindi rin directly nahack ang Curvance protocol. Ang issue: mahina ang admin setup ng Echo, at walang checking si Curvance kung anong klasing collateral ang tinatanggap nila.
Main na lesson: Ang mga DeFi attacker ngayon, hindi lang lagi sa smart contract bugs ang target. Mas madalas, ang pinapasok ay mga admin key, bridge, infra, at mismong team operation.
Simple at basic na protection sana ang pwedeng magpababa, o mag-stop ng sitwasyon na ‘to: multisig admin control, timelocks, mint cap, rate limit, at collateral checks.
Suwerte pa ni Echo dito — kaya hindi mas malaki ang nadali ay dahil kulang ang liquidity na pwedeng pag-cashout-an ng fake tokens.

The Players

Heto ang buong breakdown ng kung paano at anong nangyari:

Echo Protocol

BTCFi (Bitcoin DeFi) project ito. ‘Yung pitch nila: Gamitin ang BTC mo, tapos bibigyan ka nila ng wrapped version na puwedeng tumubo sa DeFi.

Nag-umpisa sila sa Aptos, at ang tawag dun sa token nila ay aBTC. Nag-all-time high sila ng $878 milyon TVL sa Aptos noong May 2025, pero ngayon nasa $254 milyon na lang.

Na-expand ng Echo sa Monad bilang parte ng big ecosystem push ng Monad mainnet. Dito, eBTC naman ang tawag sa wrapped BTC token nila.

Mahalagang tandaan: Hiwa-hiwalay ang aBTC at eBTC — hindi ‘yan interconnected at hindi pwedeng itransfer o i-bridge sa isa’t isa. Parallel deployments lang, at ang hack, eBTC lang sa Monad ang tinamaan.

Monad

Bago at high-performance na parallelized EVM L1 ang Monad. Isa sa mga pinaka-hyped na chain mula 2025–26. Kakalabas lang ng mainnet kaya marami pang bagong protocols na nagde-deploy dito.

Kabilang dito ang Echo. Hindi na-compromise ang Monad mismo kahit nagka-hack. Kinumpirma pa ng co-founder na si @keoneHD na normal lang ang takbo ng network buong panahon. Ang issue, nangyari sa protocol layer sa ibabaw ng Monad.

To clarify, the Monad network is not affected and is operating normally

Security researchers in their review have determined that ~$816,000 appears to have been stolen as a result of this exploit of @EchoProtocol_ 's eBTC
— Keone Hon (@keoneHD) May 18, 2026

Curvance

Lending protocol na nag-run sa Monad. Parang Aave ang function nito pero bawat collateral asset may sarili niyang hiwalay na pool, kaya kung may compromised na asset, hindi apektado yung ibang assets sa lending protocol.

Nilista nila ang eBTC bilang collateral asset dito.

Tornado Cash

Hininto ng mga authorities na ETH mixer. Dito, magpapadala ka ng ETH, tapos makakakuha ka ng ETH sa ibang wallet — para mawala yung trail ng transaction sa blockchain. Paboritong exit tool ng mga hacker.

Exploit Alert 🚨

According to @dcfgod, @EchoProtocol_ on @monad has been exploited.

The attacker reportedly minted 1,000 $eBTC worth $76.7M and used a previously tested exploit flow to extract funds through Curvance.

So far, the exploiter has:

• Deposited 45 $eBTC ($3.45M)… pic.twitter.com/933n9bbq3X
— Onchain Lens (@OnchainLens) May 18, 2026

Ano ang Na-exploit?

Ang eBTC token ng Echo sa Monad ay isang standard na ERC-20 contract gamit ang OpenZeppelin’s role-based access control system. Normal na ‘to sa industry, halos lahat ng seryosong DeFi project ito rin ang gamit.

May dalawang roles na importante dito:

DEFAULT_ADMIN_ROLE: ito yung pinaka-master role. Pwedeng magbigay at mag-revoke ng kahit anong role sa contract.
MINTER_ROLE: pwede mag-call ng mint() at makagawa ng bagong eBTC tokens.

Usually, team lang ng Echo ang may hawak neto. Nagmi-mint lang sila kapag may totoong BTC na nilock kung saan, at sila ang nagmi-mint ng ka-match na eBTC. Dito umiikot ang buong trust model ng wrapped tokens.

Dito pumalpak ang Echo.

Ang DEFAULT_ADMIN_ROLE nakatambak lang sa isang EOA — normal na wallet na may isang private key. Walang kahit anong proteksyon. Kung sino man may hawak ng key na yun, kayang magmint ng kahit ilang token, kahit kailan, walang pumipigil.

Ibig sabihin, ang buong $254M+ na Echo ecosystem sa Monad, security-wise, nakaasa lang sa iisang private key. Nanakaw ang key na yun. Hindi pa sinasabi kung paano — pwedeng phishing, malware sa laptop ng team, na-hack yung infra, possible inside job, na-leak ang secrets sa repo, o kaya tinamaan ng supply chain attack sa dev tool. Wala pa ring disclosure si Echo.

Step-by-Step ang Attack

Date: May 18, 2026, mga 5:55 PM ET

Step 1: Gamit ang nakaw na admin key, binigyan ng attacker ng DEFAULT_ADMIN_ROLE yang bagong wallet nila. Automatic admin na rin sila.
Step 2: Gamit yung bagong admin role, binigyan nila ang sarili nila ng MINTER_ROLE. Pwede na silang magmint.
Step 3: Tinawag nila yung mint(attacker_wallet, 1000e8). Pumasok ang 1,000 eBTC sa wallet nila. Notional value na $76.7M. Pero ang naka-back na real BTC: zero. Fake lahat yan, parang papel lang na nagsasabing may Bitcoin ka, pero sa totoo, wala.
Step 4: Ni-revoke nila parehong original Echo admin at pati yung sarili nilang admin role. Panglinis ng bakas sa chain, para magmukhang normal lang yung wallet na may 1,000 eBTC.

Sa puntong ito, sira na ang peg. Nadagdagan ng 1,000 eBTC kahit hindi nadagdagan ng real BTC.

Pero, hanggang dito, wala pang real value na kuha ang attacker. Walang kwenta ang fake tokens kung di mo malilipat o mako-convert sa totoong pera.

Paano Nila Na-cashout?

Hindi mo puwedeng basta-basta ibenta ng buo ang 1,000 fake eBTC sa DEX kasi wala namang sapat na liquidity sa Monad DEXs para dito. Baka magcrash lang presyo bago ka pa makabenta, tapos instant mahahalata ng mga arb trader. Kaya nagpunta ang attacker sa lending market.

Step 5. Diniposito nya 45 eBTC (paper value na $3.45M) sa Curvance bilang collateral. Tinanggap ng Curvance kasi sa smart contract point-of-view, walang pagkakaiba ang fake at legit eBTC. Walang oracle o checking kung legit, basta eBTC pasok agad. Eto yung pangalawang palpak — tinatanggap lang ng lending market ang bagong collateral kahit saan galing.
Step 6. Nag-borrow siya ng 11.29 WBTC (nasa $868K na real value). Yung WBTC — legit wrapped Bitcoin token sa Ethereum na malalim ang liquidity, fully backed talaga. Ngayon, meron na siyang $868K na totoong value, gamit yung $3.45M na fake na collateral na hindi niya balak bayaran ever.
Step 7. Ibinridge nya yung WBTC papuntang Ethereum — dito malakas ang liquidity at puwedeng gamitin si Tornado Cash.
Step 8. Pinalit nya yung WBTC sa halos 384 ETH sa Ethereum (mga $822K ang value).
Step 9. Nilusot niya yung 384 ETH sa Tornado Cash. Nabura ang trail — yung pera, napunta na sa mga bagong wallet na ‘di mo na masusundan.

Total na nakuha nilang totoong pera: nasa $816,000.

Paano Nag-respond ang Echo

Ilang oras lang after lumabas ang balita, nabawi ulit ng Echo ang admin key, sinunog ang 955 eBTC na naiwan pa sa wallet ng attacker (wala nang access), at pini-nose lahat ng cross-chain function sa Monad.

Pini-nose din nila yung Aptos bridge at Aptos lending kahit safe naman ang Aptos, para sure. Nag-upgrade sila ng contract sa Monad para limitahan ang mga apektadong operations at sinabi nilang magpa-patch din sila sa iba nilang EVM bridge deployments.

Pini-nose naman ng Curvance ang eBTC market, kinu-confirm na okay yung contracts nila at dahil sa isolated market design, hindi kumalat ang damage sa ibang lending pools.

Si Keone mula Monad, nilinaw na walang nangyari sa chain at tinukoy na nasa $816K talaga ang actual na losses.

Breakdown ng Hack

Ang pagitan ng $76.7 milyon at $816K — ito ang buong kwento. Ang Curvance lang ang viable na exit door, at yung liquidity nito ang sumalo ng utang — kaya $868K lang ang nabawi ng attacker.

eBTC minted	1,000 (nasa $76.7M ang value)
Na-deposit sa Curvance	45 eBTC
WBTC na na-borrow	11.29 (~$868K)
Pinadala sa Tornado	~384 ETH (~$822K)
Talagang nanakaw	~$816K
eBTC na na-burn ng Echo	955
Aptos exposure	~$71K
ECHO drawdown	~11-12%

Yung natitirang 955 eBTC, wala nang mapupuntahan hanggang i-burn ito ng Echo. Malaking tulong na manipis ang liquidity sa Monad kaya hindi naging mas malala ang lugi ng Echo. Kung sa Ethereum nangyari ito, halos $76M sana ang nailabas.

Bakit operational hack ito, hindi smart contract hack

Walang naging problema sa code. Gumana ito kung paano dapat gumana. Ang totoong issue eh kung paano set up ni Echo yung paligid ng contract:

Isang wallet lang ang may admin role, hindi multisig. Kaya sapat nang manakaw ang isang private key para makuha na ang buong protocol.
Walang time lock. Kaya nung binigyan ng attacker ang sarili nila ng admin at minter rights, effective agad. Walang delay na pwedeng makita o ma-respondehan ng team.
Walang maximum supply ang contract. Allowed talaga na mag-mint ng 1,000 eBTC kahit walang kahit anong BTC backing, base sa mismong rules ng contract.
Wala ring rate limit. Nakuha ng attacker na mag-mint ng 1,000 eBTC sa isang transaction lang, hindi kailangan i-spread out.
Tinanggap ng Curvance as collateral yung bagong mint na eBTC kahit hindi nila chinek kung may tunay na backing ito. Basta nakita sa wallet, tinratong legit agad gaya ng totoong eBTC.

Hindi na bago o eksperimento ang solusyon sa mga ito. Matagal nang ginagamit sa mga seryosong DeFi protocol yung multisig, timelock, mint cap, at supply checks. Hindi lang talaga ginawa ng Echo ang alinman dito.

Ganito ang itsura ng May 2026

Pang-14 na hack na ngayong buwan ang Echo. Sa kabuuan ng taon:

Protocol	Lugi	Attack Vector
KelpDAO (Apr)	$292M	RPC poisoning + DDoS (Lazarus)
Drift	$285M	Social engineering (Lazarus, UNC4736)
THORChain (May 15)	$10M+	Vault breach
Verus bridge (May 17)	$11.6M	Cross-chain verification
Echo (May 18)	$816K	Admin key
Transit Finance	$1.88M	Deprecated contract

Nasa $328.6 million na ang nawala dahil sa bridge hacks sa 2026 mula sa walong insidente. Hindi issue sa Solidity code ang dahilan. Yung pera, nawawala na ngayon dahil sa private keys, signers, RPC endpoints, at off-chain verifiers. Umatras pataas ang mga uma-atake ngayon. Ilan sa mga nangyari ngayong taon na dapat bantayan:

Drift (April): Hindi technical exploit to. Anim na buwan pinasok ni UNC4736 (North Korea) ang mga empleyado ng Drift gamit social engineering, tapos naubos nila ang $285M sa loob ng 12 minuto. Anim na buwang plano, execution 12 minutes lang. Isang military op yan, hindi lang basta hack.
KelpDAO (17 days later): Parehong grupo pero ibang atake naman gamit new method. Inatake nila ang LayerZero gamit RPC poisoning at gumawa ng fake cross-chain messages para makakuha ng $292M. Kita mo dito na state-sponsored na mga team, sabay-sabay gumagawa ng iba-ibang paraan ng pag-atake.
Kasama na rin ang AI ngayon: Kinumpirma ng Google na nangyari na yung unang AI-powered mass hack noong May 11 (nakahanap ng zero-day yung AI, tapos siya na rin ang gumawa ng bypass para sa 2FA). Ni-report din ng GoPlus na 231% ang tinaas ng Web3 losses month-on-month, partly dahil sa AI. Sabi ng CrowdStrike, average na eCrime breakout time ay 29 minutes — yung pinakamabilis, 27 seconds lang. Yung attackers, naka-automation na, pero ang defense, hindi pa sumasabay.
Resolv Labs (March): Dahil din sa nakompromisong admin key ng isang stablecoin issuer. Nakapag-mint ng attacker ng 80M na unbacked USR, nanakaw ang $25M at nagdepeg ng 80% ang USR. Pareho lang ng ugat yung kay Echo, pero ibang protocol. Mapapansin, kahit ano pa ang ginagawa ng protocol mo, pare-pareho ang problema.

Diretso ang sabi ng Ondo Finance sa post-incident analysis nila: “wala isang klase lang ng vulnerability na dapat bantayan.” Iyan ang hindi ma-gets pa ng marami sa protocols ngayon.

Kaya nung na-drain ang Echo gamit ang nanakaw na admin key, hindi ito basta nangyari ng walang context. Nagkataon na nangyari ito sa pinakadelikadong panahon para sa DeFi, at parang pang-2022 pa rin ang setup ng protocol nila.

So, ano ngayon?

In the last five years, sobrang naghigpit ang DeFi sa security ng smart contract nila. May mga audit, bug bounty, at formal verification na kadalasan ginagawa.

Kaya tumigil na din sa code ang mga attacker at nagsimula nang atakihin lahat ng iba pa—keys, infrastructure, empleyado, at signers. Lahat ng yan, hindi na-audit.

Sa kahit anong wrapped BTC protocol, ang pinaka-importanteng security question ay sino ang pwedeng mag-mint, at gaano kahirap maagaw yung kapangyarihang yun.

Kung ang sagot ay “multisig may timelock, may mint cap, at chine-check ng lending market kung saan galing ang bagong collateral,” matibay yung protocol mo. Pero kung “isang wallet lang, isang key lang,” parang nag-aabang ka lang na manakawan ng $254M. Ganyang-ganyan ang ginawa ng Echo.

Hindi rin nananatili sa isang lugar ang damage. Hindi na-hack ang Aave noong April pero nawalan pa rin sila ng $5.4B TVL sa loob lang ng 48 hours pagkatapos i-exploit ang KelpDAO. Nag-panic ang mga tao kaya hinatak nila pera nila sa lahat ng protocol. Ganito na ang nangyayari ngayon. Kapag may isang protocol na na-attack, buong DeFi sector ang naapektuhan at nagre-reprice.

Matagal nang gamit itong mga solusyon. Ilang taon na silang ginagamit. Gawin mong multisig ang admin, lagyan ng timelock ang mga pagbabago, cap ang supply, siguraduhing okay ang collateral. Ang problema, wala namang nagiging mas competitive ang protocol kapag ganito na setup, kaya walang gumagawa nito agad—madalas, saka lang nila ilalabas kapag sila na ‘yung laman ng balita.

Naka-lusot si Echo kasi manipis lang ang liquidity ng Monad, kaya hindi tuluyang na-cash out ng attacker. Pero mukhang yung susunod na protocol, wala nang ganyang palusot.