Хакер похитил $1,4 млн через уязвимость в контракте Ekubo

Заметное событие всколыхнуло криптовалютные рынки. Хакер атаковал контракт для обмена токенов на EVM-сетях DeFi-протокола Ekubo. Об этом сообщила команда проекта.   There is an active security incident on Ekubo swap router contract on EVM chains only.

Liquidity providers are not affected. Starknet is not affected. We are investigating the scope of the issue, but to be safe revoke all outstanding approvals: Ekubo (@EkuboProtocol) May 5, 2026 Разработчики подчеркнули, что поставщики ликвидности не пострадали.

Динамика рынка

Starknet-версия площадки также остается в безопасности. Пользователям рекомендовали отозвать все действующие разрешения и предупредили о возможном фишинге. По данным Blockaid, атака затронула кастомный вспомогательный Ekubo в Ethereum.

Эксперты оценили предварительный ущерб в $1,4 млн. 🚨Blockaid's exploit detection system has identified an on-going exploit on an @EkuboProtocol custom extension contract on Ethereum. Ekubo users are not at risk.

Only users who have approved this specific v2 contract as a spender (any token) are at…— Blockaid (@blockaid_) May 5, 2026 Риску подвержены только те пользователи, кто ранее выдал разрешение на списание токенов конкретному v2-контракту. Причина взлома В Blockaid связали эксплойт с ошибкой в механизме обратного вызова. Вспомогательный контракт позволял злоумышленнику подставлять в запрос произвольные значения: кто платит, какой токен и в каком объеме.

Влияние на рынки

Контракт не проверял, действительно ли указанный плательщик инициировал операцию или согласился выступить в этой роли. При наличии старого разрешения ERC-20 атакующий мог указать адрес жертвы как плательщика, инициировать вызов через Ekubo Core и заставить контракт списать токены через функцию transferFrom. Механизм расчетов Ekubo Core затем переводил украденную сумму хакеру.

Основатель SlowMist под псевдонимом Cos уточнил, что один из пользователей дал бесконечное разрешение контракту Ekubo 158 дней назад. Атакующий 85 раз инициировал списание по 0,2 WBTC — в итоге с адреса вывели 17 WBTC. Ekubo 有关合约被恶意利用： 如这位用户 0x765DEC 的这笔 WBTC 无限授权（158 天前）： payer，在 payCallback 中让该合约调用… Cos(余弦)😶‍🌫️ (@evilcos) May 6, 2026 Ончейн-аналитик под ником Darkfost сообщил, что хакер отправил похищенные средства в Velora, обменял их на $404 000 в USDC, $403 000 в DAI и 239,5 ETH, а затем отправил в криптомиксер Tornado Cash.

If you use Ekubo, be cautious. Their EkuboSwap router contract has been exploited. The attacker managed to execute 85 transactions, each transferring 0.

Криптовалютные рынки внимательно следят за этим событием, а инвесторы оценивают его возможное влияние на цены.