Хакер похитил $1,4 млн через уязвимость в контракте EkuboХакер атаковал контракт для обмена токенов на EVM-сетях DeFi-протокола Ekubo. Об этом сообщила команда проекта.

Хакер атаковал контракт для обмена токенов наEVM-сетяхDeFi-протокола Ekubo. Об этом сообщила команда проекта. There is an active security incident on Ekubo swap router contract on EVM chains only. Liquidity providers are not affected. Starknet is not affected.We are investigating the scope of the issue, but to be safe revoke all outstanding approvals:https://t.co/9vHDLVjQWP— Ekubo (@EkuboProtocol)May 5, 2026 There is an active security incident on Ekubo swap router contract on EVM chains only. Liquidity providers are not affected. Starknet is not affected.We are investigating the scope of the issue, but to be safe revoke all outstanding approvals:https://t.co/9vHDLVjQWP Разработчики подчеркнули, чтопоставщики ликвидностине пострадали.Starknet-версия площадки также остается в безопасности. Пользователям рекомендовали отозвать все действующие разрешения и предупредили о возможном фишинге. По данным Blockaid, атака затронула кастомный вспомогательный Ekubo в Ethereum. Эксперты оценили предварительный ущерб в $1,4 млн. 🚨Blockaid's exploit detection system has identified an on-going exploit on an@EkuboProtocolcustom extension contract on Ethereum.$1.4M drained so far.Ekubo users are not at risk. Only users who have approved this specific v2 contract as a spender (any token) are at…— Blockaid (@blockaid_)May 5, 2026 🚨Blockaid's exploit detection system has identified an on-going exploit on an@EkuboProtocolcustom extension contract on Ethereum.$1.4M drained so far.Ekubo users are not at risk. Only users who have approved this specific v2 contract as a spender (any token) are at… Риску подвержены только те пользователи, кто ранее выдал разрешение на списание токенов конкретному v2-контракту. В Blockaid связали эксплойт с ошибкой в механизме обратного вызова. Вспомогательный контракт позволял злоумышленнику подставлять в запрос произвольные значения: кто платит, какой токен и в каком объеме. Контракт не проверял, действительно ли указанный плательщик инициировал операцию или согласился выступить в этой роли. При наличии старого разрешения ERC-20 атакующий мог указать адрес жертвы как плательщика, инициировать вызов через Ekubo Core и заставить контракт списать токены через функцию transferFrom. Механизм расчетов Ekubo Core затем переводил украденную сумму хакеру. Основатель SlowMist под псевдонимом Cos уточнил, что один из пользователей дал бесконечное разрешение контракту Ekubo 158 дней назад. Атакующий 85 раз инициировал списание по 0,2 WBTC — в итоге с адреса вывели 17 WBTC. Ekubo 有关合约被恶意利用：https://t.co/imw4AKey5t原因是如果用户之前将相关代币授权给：0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd如这位用户 0x765DEC 的这笔 WBTC 无限授权（158 天前）：https://t.co/2Ubo35aBZJ攻击者可指定已授权用户作为 payer，在 payCallback 中让该合约调用…https://t.co/FDwvrJ23oR— Cos(余弦)😶‍🌫️ (@evilcos)May 6, 2026 Ekubo 有关合约被恶意利用：https://t.co/imw4AKey5t原因是如果用户之前将相关代币授权给：0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd如这位用户 0x765DEC 的这笔 WBTC 无限授权（158 天前）：https://t.co/2Ubo35aBZJ攻击者可指定已授权用户作为 payer，在 payCallback 中让该合约调用…https://t.co/FDwvrJ23oR Ончейн-аналитик под ником Darkfost сообщил, что хакер отправил похищенные средства в Velora, обменял их на $404 000 вUSDC, $403 000 вDAIи 239,5 ETH, а затем отправил в криптомиксерTornado Cash. If you use Ekubo, be cautious.Their EkuboSwap router contract has been exploited.The attacker managed to execute 85 transactions, each transferring 0.2$WBTCto a single address.The 17 WBTC were then sent to Velora and swapped into $404K$USDC, $403K$DAI, and 239.5$ETH.…https://t.co/vj9pubFrzJpic.twitter.com/kD5zgWyUNP— Darkfost (@Darkfost_Coc)May 5, 2026 If you use Ekubo, be cautious.Their EkuboSwap router contract has been exploited.The attacker managed to execute 85 transactions, each transferring 0.2$WBTCto a single address.The 17 WBTC were then sent to Velora and swapped into $404K$USDC, $403K$DAI, and 239.5$ETH.…https://t.co/vj9pubFrzJpic.twitter.com/kD5zgWyUNP Напомним, апрель 2026 годапобилрекорд по числу взломов в криптоиндустрии. Аналитики DefiLlama насчитали более 20 инцидентов за месяц. Крупнейшим стал эксплойт протоколаKelpна $292 млн. На втором месте —атака на Driftс ущербом в $280 млн. Безопасных мест в DeFi не осталось? Чему учит кейс Aave и Kelp