Децентрализованная платформа Ekubo, изначально построенная в экосистеме StarkNet и позднее расширенная на Ethereum и Arbitrum, стала жертвой атаки на смарт-контракты EVM-маршрутизатора. Инцидент привел к краже примерно $1,4 млн в обернутых биткоинах (WBTC), сообщила 6 мая 2026 года компания Blockaid.
По данным экспертов по безопасности, уязвимость заключалась в некорректной проверке входных параметров в контрактах расширения v2 EVM. Система принимала от злоумышленника адрес плательщика, токен и сумму, не подтверждая авторизацию транзакции со стороны реального владельца средств. Это позволило хакеру методично опустошить кошельки, ранее предоставившие разрешения скомпрометированным роутерам. Атака была реализована через серию из примерно 85 быстрых транзакций.
Основной понесшей ущерб стороной стал единственный поставщик ликвидности, потерявший около 17 WBTC. Похищенные средства были немедленно конвертированы в WETH и стейблкоин DAI, что усложнило их отслеживание. Мониторинговые сервисы Cyvers и Blockaid подтвердили факт эксплуатации. Представители Ekubo оперативно отреагировали: в официальном аккаунте в X они заявили, что инцидент затронул только своп-роутер на EVM-сетях, а основная часть протокола на StarkNet и ликвидность провайдеров остались в безопасности. Пользователям настоятельно рекомендовано отозвать все действующие разрешения через сервис revoke.cash.
Поскольку контракты EVM в Ekubo являются неизменяемыми по дизайну, единственным выходом станет развертывание исправленной версии роутера. Дополнительных потерь на момент публикации не зафиксировано.
Этот инцидент стал еще одним звеном в череде громких взломов DeFi-протоколов в 2026 году. По данным The Block, общий ущерб от эксплойтов уже превысил $750 млн, из которых $620 млн пришлось на апрель (почти 30 отдельных атак). Крупнейшими стали взлом Drift Protocol на $280 млн и Kelp DAO на $292 млн. Эксперты вновь подчеркивают риски, связанные с модульной архитектурой и кросс-чейн-взаимодействием, а также важность непрерывного аудита смарт-контрактов.
