Зловмисник здійснив атаку на смартконтракт обміну токенів у EVM-мережах DeFi-платформи Ekubo. Про це заявила команда проєкту.
Інцидент з безпекою відбувається на маршрутизаторі свопів Ekubo в мережах EVM. Постачальники ліквідності не зазнали шкоди. Starknet не торкнулося.
Ми оцінюємо масштаб проблеми, але для гарантування безпеки скасуйте всі поточні дозволи: https://t.co/9vHDLVjQWP
— Ekubo (@EkuboProtocol) May 5, 2026
Розробники підкреслили, що провайдери ліквідності залишилися неушкодженими. Starknet-варіант платформи також перебуває в безпеці.
Користувачам рекомендували відкликати всі активні дозволи та застерегли про можливий фішинг.
За інформацією Blockaid, атака зачепила кастомний допоміжний смартконтракт Ekubo в мережі Ethereum. Експерти оцінили попередні втрати в $1,4 млн.
🚨Система виявлення експлойтів Blockaid зафіксувала поточну атаку на кастомний контракт-розширення @EkuboProtocol в Ethereum.
Наразі виведено $1,4 млн.
Користувачі Ekubo в безпеці. У групі ризику тільки ті, хто затвердив цей конкретний v2-контракт як спендера (будь-який токен)…
— Blockaid (@blockaid_) May 5, 2026
Ризики поширюються лише на тих користувачів, котрі раніше надали дозвіл на зняття токенів цьому конкретному v2-контракту.
Причина атаки
У Blockaid пов’язали інцидент із недоліком у механізмі зворотного виклику. Допоміжний контракт дозволяв зловмиснику вставляти в запит будь-які значення: хто здійснює платіж, який саме токен і в якій кількості.
Контракт не перевіряв, чи дійсно зазначений платник ініціював операцію або погодився виконувати цю роль.
За наявності старого дозволу ERC-20 зловмисник міг вказати адресу жертви як платника, ініціювати виклик через Ekubo Core і змусити контракт списати токени через функцію transferFrom. Розрахунковий механізм Ekubo Core потім переказував викрадену суму хакеру.
Засновник SlowMist під псевдонімом Cos зазначив, що один із користувачів надав безмежний дозвіл контракту Ekubo 158 днів тому. Зловмисник 85 разів здійснив списання по 0,2 WBTC — в результаті з адреси вивели 17 WBTC.
Контракт, пов’язаний з Ekubo, був використаний зловмисно: https://t.co/imw4AKey5t
Причина в тому, що якщо користувач раніше надав дозвіл на відповідні токени для:
0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd
як у цього користувача 0x765DEC — безмежний дозвіл на WBTC (158 днів тому): https://t.co/2Ubo35aBZJЗловмисник може вказати користувача з наданим дозволом як payer і в payCallback змусити цей контракт викликати… https://t.co/FDwvrJ23oR
— Cos(余弦)😶🌫️ (@evilcos) May 6, 2026
Ончейн-аналітик під псевдонімом Darkfost повідомив, що зловмисник перевів викрадені кошти у Velora, конвертував їх у $404 000 в USDC, $403 000 в DAI та 239,5 ETH, а потім відправив у криптоміксер Tornado Cash.
Якщо ви використовуєте Ekubo, будьте пильні. Їхній контракт EkuboSwap router зламаний.
Зловмисник провів 85 транзакцій, кожна з яких переказувала по 0,2 $WBTC на одну адресу.
Потім 17 WBTC було відправлено до Velora і конвертовано в $404 тис. $USDC, $403 тис. $DAI та 239,5 $ETH.… https://t.co/vj9pubFrzJ pic.twitter.com/kD5zgWyUNP
— Darkfost (@Darkfost_Coc) May 5, 2026
Нагадаємо, квітень 2026 року зафіксував антирекорд за числом атак у криптоіндустрії. Аналітики DefiLlama нарахували більше 20 інцидентів за місяць.
Найбільшим став експлойт протоколу Kelp на $292 млн. На другому місці — напад на Drift зі збитками в $280 млн.