Autopsia dell’exploit Echo Protocol da 76 milioni di dollari: non era davvero un hack

Le perdite DeFi nel 2026 hanno superato 1 miliardo di dollari in soli quattro mesi, con il solo mese di aprile che ha bruciato 634 milioni di dollari in oltre 28 incidenti, il peggior mese mai registrato.

Solo Drift (285 milioni di dollari) e KelpDAO (292 milioni di dollari) hanno rappresentato 577 milioni di dollari delle perdite di aprile, e nessuna delle due è stata causata da exploit del codice.

La panoramica di DefiLlama sugli hack del 2026 conferma questo scenario.

Le categorie più colpite sono gli exploit dei bridge LayerZero (18%), le chiavi admin compromesse (16%), i token spoof (14%) e le compromissioni delle chiavi private (11%).

Se sommate, le falle operative e di gestione delle chiavi rappresentano la maggioranza del valore rubato quest’anno. I bug degli smart contract, come la re-entrancy e la manipolazione degli oracoli, hanno un peso quasi trascurabile.

Echo Protocol è appena diventata l’ultimo caso emblematico.

Il 18 maggio, un attaccante ha violato Echo Protocol su Monad e si è creato autonomamente 1.000 eBTC falsi. Sul “cartaceo” corrispondevano a 76,7 milioni di dollari.

Contenuto sponsorizzato

Il problema è che i token falsi non valgono nulla, a meno che tu non riesca a scambiarli con qualcosa di reale. L’attaccante ha quindi preso una piccola parte, l’ha depositata come collaterale nell’app di lending di Curvance, e ha preso in prestito veri Bitcoin a garanzia.

Successivamente ha trasferito quei Bitcoin su Ethereum attraverso un bridge, li ha scambiati con ETH e li ha poi fatti passare su Tornado Cash. Il bottino finale: circa 816.000 dollari.

Tutti parlano di 76,7 milioni di dollari, ma il vero numero è 816.000 dollari: la differenza tra queste due cifre racconta la storia principale.

Earlier today, Echo Protocol identified unauthorized activity involving eBTC on Monad that resulted in unauthorized minting and associated fund loss.

Our investigation indicates the issue originated from a compromised admin key affecting the Monad deployment. Based on current…
— Echo Protocol (@EchoProtocol_) May 19, 2026

In questo approfondimento spieghiamo in dettaglio cosa è accaduto, come è stato possibile e cosa ci dice oggi sulla sicurezza DeFi.

Il punto chiave: il contratto era integro. È bastata una chiave admin rubata e controlli superficiali a causare il resto — ed è così che stanno avvenendo la maggior parte delle perdite DeFi nel 2026.

Post Mortem (il riepilogo)

Echo Protocol non è stato colpito da una vulnerabilità nello smart contract, ma tramite il furto o accesso di una chiave admin.
Quella chiave admin aveva il controllo sui permessi di minting del token eBTC di Echo su Monad. Una sola chiave privata è bastata per creare token Bitcoin-peg falsi.
L’attaccante ha minted 1.000 eBTC falsi, per un valore teorico di circa 76,7 milioni di dollari. Ma quei token non erano realmente coperti da Bitcoin.
Non ha potuto liquidare l’intero importo perché la liquidità su Monad era troppo bassa. Così ha usato 45 eBTC falsi come collaterale su Curvance.
Curvance ha accettato gli eBTC falsi come collaterale valido e ha permesso all’attaccante di prendere in prestito veri WBTC.
L’attaccante è riuscito a fuggire con circa 816.000 dollari in valore reale, non 76,7 milioni di dollari.
Successivamente Echo ha bruciato i restanti 955 eBTC falsi e ha sospeso le funzioni colpite.
Monad in sé non è stato violato. Anche il protocollo principale di Curvance non è stato direttamente hackerato. Il problema nasce dalla configurazione admin di Echo e dal fatto che Curvance abbia accettato un collaterale appena creato senza verifiche adeguate.
La lezione: Gli attacchi DeFi ora prendono di mira soprattutto chiavi, admin, bridge, infrastruttura e operatività dei team più che bug degli smart contract.
Protezioni basilari avrebbero reso questo attacco meno dannoso o perfino lo avrebbero impedito: controllo admin tramite multisig, timelock, limiti di minting, limiti di frequenza, e controlli approfonditi sui collaterali.
Echo ha avuto fortuna: l’attaccante non ha sottratto di più solo perché non c’era abbastanza liquidità per liquidare i token falsi.

I protagonisti

Ecco la ricostruzione completa di ciò che è successo e di come si è svolto.

Echo Protocol

Un progetto BTCFi (Bitcoin DeFi). La loro idea: prendi i tuoi Bitcoin, ricevi una versione wrapped che genera rendimento e può essere usata nella DeFi.

La loro base principale è Aptos, dove il token si chiama aBTC. Hanno toccato un massimo di TVL di 878 milioni di dollari su Aptos a maggio 2025, attualmente intorno a 254 milioni di dollari.

Echo si è poi espansa su Monad come parte dell’iniziativa mainnet di questa blockchain. Su Monad, il token wrapped di Bitcoin si chiama eBTC.

È fondamentale: aBTC ed eBTC sono asset completamente separati e non sono bridgeabili tra loro. Si tratta di due implementazioni parallele, non connesse. L’attacco ha colpito solo eBTC su Monad.

Monad

Una nuova blockchain L1 EVM ad alte prestazioni e parallelizzata. Una delle chain più chiacchierate tra 2025 e 2026. Appena lanciata la mainnet, diversi protocolli stanno effettuando il deployment.

Echo è uno di questi progetti. Monad in sé NON è stata compromessa in alcun modo. Il cofondatore @keoneHD ha confermato che la rete ha funzionato regolarmente per tutta la durata dell’attacco. Si è trattato di un problema a livello di protocollo, sopra Monad.

Contenuto sponsorizzato

To clarify, the Monad network is not affected and is operating normally

Security researchers in their review have determined that ~$816,000 appears to have been stolen as a result of this exploit of @EchoProtocol_ 's eBTC
— Keone Hon (@keoneHD) May 18, 2026

Curvance

Un protocollo di lending lanciato su Monad. Funziona come Aave, ma con mercati isolati: ogni asset dato come collateral risiede in un pool separato, quindi un asset compromesso non può mettere a rischio il resto del protocollo di lending.

Avevano listato eBTC come asset da utilizzare come collateral.

Tornado Cash

Mixing ETH sanzionato. Invi ETH da un wallet, ricevi ETH su un altro wallet, rompendo la tracciabilità on-chain. Strumento standard per l’uscita degli hacker.

Exploit Alert 🚨

According to @dcfgod, @EchoProtocol_ on @monad has been exploited.

The attacker reportedly minted 1,000 $eBTC worth $76.7M and used a previously tested exploit flow to extract funds through Curvance.

So far, the exploiter has:

• Deposited 45 $eBTC ($3.45M)… pic.twitter.com/933n9bbq3X
— Onchain Lens (@OnchainLens) May 18, 2026

Cosa è Stato Sfruttato

Il token eBTC di Echo su Monad è un normale contratto ERC-20 che utilizza il sistema di access control basato sui ruoli di OpenZeppelin. Questo è lo standard del settore, viene utilizzato praticamente da tutti i progetti DeFi seri.

Nel suo setup, contano due ruoli:

DEFAULT_ADMIN_ROLE: il ruolo principale. Può concedere o rimuovere qualsiasi altro ruolo sul contratto.
MINTER_ROLE: può chiamare la funzione mint() e creare nuovi token eBTC.

Normalmente, solo il team di Echo detiene questi ruoli. Il minting avviene solo quando dei veri BTC vengono bloccati da qualche parte, e il team emette la corrispettiva quantità di eBTC. Questo è tutto il modello di fiducia che c’è dietro a un token wrapped.

Qui è dove Echo ha sbagliato.

Il DEFAULT_ADMIN_ROLE era collegato a una singola EOA, quindi semplicemente a un wallet normale con una sola chiave privata. E questo wallet non aveva alcuna misura di sicurezza. Chiunque avesse quella chiave poteva mintare quanto voleva, quando voleva, senza alcun limite.

Quindi, da un punto di vista della sicurezza, l’intero ecosistema di Echo su Monad di oltre 254 milioni di dollari era protetto da una sola chiave privata. Quella chiave è stata rubata. Nessuno ha ancora spiegato come sia successo. Potrebbe essere phishing, malware su un computer del team, una breccia nell’infrastruttura, un insider, segreti trapelati in una repository, un attacco supply chain tramite un tool di sviluppo. Echo non ha ancora rivelato nulla.

L’attacco, passo dopo passo

Data: 18 maggio 2026, circa alle 17:55 ET

Contenuto sponsorizzato

Passo 1: Gli hacker usano la chiave admin rubata per concedere a sé stessi il DEFAULT_ADMIN_ROLE su un nuovo wallet. Ora sono anche loro admin.
Passo 2: Da quel nuovo ruolo di admin, si attribuiscono anche il MINTER_ROLE. Possono quindi mintare.
Passo 3: Chiamano mint(attacker_wallet, 1000e8). Appaiono 1.000 eBTC nel loro wallet. Valore nominale 76,7 milioni di dollari. Reali BTC a garanzia: zero. Questi token sono completamente falsi, sono crediti su Bitcoin che in realtà non esistono da nessuna parte.
Passo 4: Rimuovono sia l’admin di Echo originale sia il proprio ruolo di admin. Una mossa di “pulizia” così da rendere meno sospetto il tutto on-chain. Dall’esterno sembra semplicemente un wallet casuale che detiene 1.000 eBTC.

A questo punto, il peg è matematicamente rotto. Ci sono 1.000 token eBTC in più rispetto a quelli che i BTC a garanzia possono coprire.

Ma l’attaccante non si è ancora impossessato di nulla. I token falsi non valgono nulla, a meno che tu non riesca a convertirli in soldi veri.

Il Flusso di Incasso

Non puoi semplicemente vendere 1.000 eBTC falsi su un DEX. I DEX su Monad non hanno liquidità sufficiente nemmeno lontanamente. Faresti crollare il prezzo a zero prima di tirare fuori qualcosa, e gli arbitraggisti lo noterebbero subito. Quindi l’hacker ha scelto invece un mercato di lending.

Passo 5. Deposita 45 eBTC (valore di circa 3,45 milioni di dollari) su Curvance come collateral. Curvance lo accetta, perché dal punto di vista del contratto, un eBTC vale un eBTC. Nessun oracolo o controllo per distinguere un “eBTC appena mintato e falso” da un “vero eBTC garantito da BTC”. Questo è il secondo errore in questo hack. I mercati di lending accettano qualsiasi nuovo collateral al valore nominale, senza controllarne la provenienza.
Passo 6. Prende in prestito 11,29 WBTC contro quei 45 eBTC, circa 868.000 dollari in veri wrapped Bitcoin. WBTC è il principale token BTC su Ethereum, con molta liquidità e completamente coperto da riserve. Ora ha in mano 868.000 dollari di valore reale garantiti da 3,45 milioni di dollari di collateral falso, che non restituirà mai.
Passo 7. Porta i WBTC su Ethereum tramite bridge. È qui che c’è tutta la liquidità e dove funziona Tornado Cash.
Passo 8. Converte i WBTC in circa 384 ETH su Ethereum (circa 822.000 dollari).
Passo 9. Manda i 384 ETH su Tornado Cash. Si perde la tracciabilità. I fondi finiscono in nuovi wallet che non possono essere collegati a quelli iniziali.

Totale prelevato in fondi reali: circa 816.000 dollari.

Come Ha Risposto Echo

Nel giro di poche ore dall’uscita pubblica dell’attacco, Echo ha recuperato la chiave admin, bruciato i 955 eBTC ancora presenti nel wallet dell’attaccante (che ormai non esisteva più) e sospeso tutte le funzionalità cross-chain su Monad.

Hanno anche sospeso il bridge su Aptos e il lending su Aptos, anche se Aptos non era stato compromesso, solo per precauzione. È stato applicato un upgrade ai contratti su Monad per limitare le operazioni interessate e hanno annunciato che aggiorneranno anche gli altri bridge EVM.

Curvance ha sospeso il mercato eBTC, ha confermato che i propri contratti erano a posto e ha sottolineato che il design a mercati isolati ha evitato che i danni si diffondessero ad altri pool di lending.

Keone di Monad ha chiarito che la chain non è stata toccata e ha stimato la reale perdita in circa 816.000 dollari.

Il Riepilogo

La differenza tra 76,7 milioni di dollari e 816.000 dollari è l’intera storia. Curvance era l’unica via d’uscita praticabile, e la sua liquidità ha limitato il prestito a circa 868.000 dollari.

eBTC coniati	1.000 (valore nominale 76,7 milioni di dollari)
Depositati su Curvance	45 eBTC
WBTC presi in prestito	11,29 (~868.000 dollari)
Inviati tramite Tornado	~384 ETH (~822.000 dollari)
Effettivamente rubati	~816.000 dollari
eBTC bruciati da Echo	955
Esposizione su Aptos	~71.000 dollari
Drawdown su ECHO	~11-12%

Gli altri 955 eBTC non avevano dove andare finché Echo non li ha bruciati. Anche la bassa liquidità su Monad ha salvato Echo da una perdita ancora più grande. Su Ethereum, questa cifra avrebbe sfiorato i 76 milioni di dollari andati persi.

Perché si è trattato di un attacco operativo e non di un hack dello smart contract

Il codice non era il problema. Funzionava come doveva. Il vero punto critico è stato il modo in cui Echo ha impostato tutto attorno al contratto:

Il ruolo di amministratore era detenuto da un solo wallet invece che da un multisig. Rubare una singola chiave privata era sufficiente per prendere il controllo dell’intero protocollo.
Non c’era alcun timelock. Quando l’attaccante si è assegnato i diritti di admin e poi di minter, queste modifiche sono diventate effettive immediatamente. Nessun ritardo, nessuna finestra affinché il team se ne accorgesse e reagisse.
Il contratto non prevedeva una fornitura massima. Coniare 1.000 eBTC senza alcun BTC a garanzia era tecnicamente permesso dalle regole dello stesso contratto.
Nessun limite di velocità nemmeno. L’attaccante ha coniato tutti e 1.000 eBTC in un’unica transazione, invece di essere costretto a distribuirli in più tranche.
Curvance ha accettato i nuovi eBTC come collaterale senza verificare se fossero effettivamente garantiti. Il mercato dei prestiti ha semplicemente visto i token eBTC in un wallet e li ha trattati come tutti gli altri.

Nessuna di queste soluzioni è oscura o sperimentale. Multisig, timelock, cap alla minting e controlli sull’offerta sono strumenti che i protocolli DeFi più seri utilizzano da anni. Echo semplicemente non ha usato nessuno di questi accorgimenti.

Maggio 2026 si presenta così

Echo è il quattordicesimo hack di questo mese. Il bilancio dall’inizio dell’anno:

Protocollo	Perdita	Vettore
KelpDAO (aprile)	292 milioni di dollari	RPC poisoning + DDoS (Lazarus)
Drift	285 milioni di dollari	Social engineering (Lazarus, UNC4736)
THORChain (15 maggio)	10 milioni di dollari+	Violazione vault
Verus bridge (17 maggio)	11,6 milioni di dollari	Verifica cross-chain
Echo (18 maggio)	816.000 dollari	Chiave admin
Transit Finance	1,88 milioni di dollari	Contratto deprecato

Nel 2026 persi circa 328,6 milioni di dollari in otto episodi di hack ai bridge. Nessuno di questi è dovuto a bug in Solidity. Ora i soldi spariscono a causa di chiavi, firmatari, endpoint RPC, validatori off-chain. Gli attaccanti si sono mossi più in alto nello stack. Alcuni casi di quest’anno da tenere d’occhio:

Drift (aprile): Non è stato un exploit tecnico. UNC4736 (Corea del Nord) ha passato sei mesi a fare social engineering sugli impiegati di Drift, poi ha svuotato 285 milioni di dollari in 12 minuti. Sei mesi di preparazione, 12 minuti di esecuzione. Questa è un’operazione militare, non un hack.
KelpDAO (17 giorni dopo): Lo stesso gruppo, vettore completamente diverso. Hanno compromesso l’infrastruttura RPC di LayerZero e falsificato messaggi cross-chain, rubando 292 milioni di dollari. Team sponsorizzati dagli stati che utilizzano più strategie contemporaneamente.
Anche l’IA si sta facendo vedere: Google ha confermato il primo mass exploit potenziato dall’IA l’11 maggio (l’IA ha trovato una vulnerabilità zero-day e scritto il codice per bypassare la 2FA). GoPlus ha riportato un balzo del 231% mese su mese nelle perdite in Web3 legate in parte all’IA. Secondo CrowdStrike, il tempo medio di breakout di un attacco eCrime è di 29 minuti, il più rapido solo 27 secondi. Il lato offensivo si sta automatizzando, quello difensivo quasi per nulla.
Resolv Labs (marzo): Compromissione della chiave admin su un emittente di stablecoin. L’attaccante ha coniato 80 milioni di USR non garantiti, drenato 25 milioni di dollari e USR ha perso l’ancoraggio per l’80%. Stessa causa principale di Echo, ma un tipo di protocollo del tutto differente. Questo schema non guarda a cosa stai costruendo.

Ondo Finance lo ha detto chiaramente nella loro analisi post-incidente: “non esiste una sola classe di vulnerabilità da cui difendersi”. Ed è questa la parte che la maggior parte dei protocolli ancora non ha interiorizzato.

Per questo, quando Echo è stato svuotato tramite la chiave admin rubata, non è successo per caso. È accaduto nel periodo più ostile che la DeFi abbia mai visto, e il protocollo era impostato come se fossimo ancora nel 2022.

E quindi?

La DeFi ha passato gli ultimi cinque anni a migliorare sulla sicurezza degli smart contract. Audit, bug bounty, verifiche formali, tutto quanto.

Così gli attaccanti hanno smesso di puntare sul codice e hanno iniziato a colpire tutto il resto: chiavi, infrastrutture, dipendenti, firmatari. Niente di tutto ciò viene sottoposto ad audit.

Per qualunque protocollo BTC wrapped, l’unica domanda di sicurezza che conta davvero è chi può coniare e quanto sia difficile per qualcun altro ottenere quel potere.

Se la risposta è “un multisig con timelock, cap alla minting e un lending market che controlla da dove arriva il nuovo collaterale”, hai un vero protocollo. Se invece la risposta è “un wallet con una sola chiave”, ci sono 254 milioni di dollari che aspettano solo di essere presi. Echo era il secondo caso.

I danni non restano mai circoscritti. Aave non è stata hackerata in aprile, ma ha perso 5,4 miliardi di dollari di TVL in 48 ore dopo l’attacco a KelpDAO. La gente ha fatto panic selling e ha ritirato i fondi ovunque. Questo succede oggi. Basta che venga colpito un protocollo e poi l’intero settore subisce una nuova valutazione.

Le soluzioni non sono nuove. Esistono da anni. Multisig per l’amministratore, timelock per le modifiche, limite massimo per la fornitura, verifica del collaterale. Semplicemente, nessuna di queste migliorie rende un protocollo più competitivo lato utente e quindi nessuno le implementa finché non diventano il prossimo caso mediatico.

Echo se l’è cavata facilmente perché la liquidità su Monad era troppo bassa per permettere all’attaccante di incassare completamente. Probabilmente il prossimo protocollo non avrà questa scusa.