Echo Protocol: 76 milyon Dolar’lık olayda gerçekler su yüzüne çıktı

2026’da DeFi kayıpları, sadece dört ayda 1 milyar doları aşıyor ve nisan tek başına 28’den fazla olayla 634 milyon dolar kayıpla rekor kırıyor.

Drift (285 milyon dolar) ve KelpDAO (292 milyon dolar) nisan ayındaki toplam kaybın 577 milyon dolarını oluşturdu. Üstelik bu iki olayda kod açıklarından faydalanılmadı.

DeFi kayıpları artıyor

DefiLlama’ın 2026 hack analizine bakıldığında da tablo değişmiyor.

En büyük payı ise LayerZero bridge açıkları (%18), ele geçirilen yönetim anahtarları (%16), sahte token’lar (%14) ve özel anahtar sızıntıları (%11) oluşturuyor.

Sonuç olarak; operasyonel ve anahtar yönetimi hataları, bu yıl çalınan toplam değerlerin büyük kısmının sebebi oluyor. Akıllı kontrat hataları, re-entrancy ya da oracle manipülasyonu gibi klasik açıklar ise neredeyse hiç görülmüyor.

2026 DeFi hack haritası

Son olarak Echo Protocol de bu istatistiklere eklendi.

18 mayıs’ta bir saldırgan, Echo Protocol’e Monad üzerinde sızdı ve kendisi için 1.000 sahte eBTC bastı. Kağıt üzerinde bu miktarın değeri 76,7 milyon dolar.

Sponsorlu

Olayın püf noktası şu: Sahte token’ları bir şeye dönüştüremedikçe aslında bir değeri yok. Saldırgan, bu sahte eBTC’lerin bir kısmını Curvance’in lending uygulamasında teminat olarak kullandı ve gerçek Bitcoin borç aldı.

Sonra bu Bitcoin’i Ethereum ağına bridge’ledi, ETH’ye çevirdi ve Tornado Cash’ten geçirdi. Son kazanç: Yaklaşık 816.000 dolar.

Pek çok kişi zararı 76,7 milyon dolar olarak duyurdu. Oysa gerçekte kayıp 816.000 dolar civarında kaldı. İki rakamın böylesine farklı olması, tüm hikayenin temelini oluşturuyor.

Earlier today, Echo Protocol identified unauthorized activity involving eBTC on Monad that resulted in unauthorized minting and associated fund loss.

Our investigation indicates the issue originated from a compromised admin key affecting the Monad deployment. Based on current…
— Echo Protocol (@EchoProtocol_) May 19, 2026

Bu çözümleme, olayın perde arkasıyla beraber günümüzde DeFi güvenliği hakkında ipuçları sunuyor.

En önemli detay: Akıllı kontratlarda büyük bir açık yoktu. Yönetici anahtarının ele geçirilmesi ve yetersiz kontroller tüm zararın ana kaynağıydı. 2026’da DeFi kayıpları genellikle bu şekilde yaşanıyor.

Olay Sonrası Analiz: Ne Oldu?

Echo Protocol, kötü akıllı kontrat koduyla hack’lenmedi. Saldırgan bir yönetici anahtarını ele geçirdi ya da erişim sağladı.
Bu yönetim anahtarı, Monad üzerindeki Echo’nun eBTC token’ını basma yetkisine sahipti. Tek bir özel anahtar, sahte Bitcoin teminatlı token’ların yaratılması için yeterliydi.
Saldırgan toplamda 1.000 sahte eBTC bastı. Kağıt üzerinde değeri yaklaşık 76,7 milyon dolar, ama bu token’ların arkasında gerçek BTC yoktu.
Monad’ta likidite az olduğu için hepsini nakde çeviremedi. Bunun yerine 45 sahte eBTC’yi Curvance’ta teminat olarak kullandı.
Curvance, sahte eBTC’leri normal teminat gibi kabul etti ve saldırgana gerçek WBTC borç verdi.
Saldırgan, toplamda yaklaşık 816.000 dolar gerçek değeri kasasına koydu, 76,7 milyon doları değil.
Echo, kalan 955 sahte eBTC’yi daha sonra yaktı ve ilgili fonksiyonları duraklattı.
Monad’ın kendisi hack’lenmedi. Curvance’in asıl protokolü de doğrudan saldırıya uğramadı. Sorun, Echo’nun yönetici kurulumu ve Curvance’in yeni basılan teminatlara güveninden kaynaklandı.
Çıkarılacak ana ders: Artık DeFi saldırganları çoğunlukla anahtarlar, yönetici hakları, bridge’ler, altyapı ve ekip operasyonlarını hedef alıyor. Akıllı kontrat açıkları ise ikinci planda.
Basit koruma önlemleri bu tür olayları ya da zararları azaltabilirdi: Çoklu imza ile yönetici kontrolü, zaman kilidi (timelock), mint tavanı, oran sınırlamaları ve teminat kontrolleri.
Echo’nun şansı yaver gitti; likidite yeterli olsaydı çok daha yüksek kayıplar yaşanabilirdi.

Olayın Oyuncuları Kimdi?

İşte olayın detaylı özeti ve nasıl gerçekleştiği:

Echo Protocol

Bir BTCFi (Bitcoin DeFi) projesi. Vaatleri basit: Elinizdeki BTC’yi getirip DeFi’de kullanılabilen, getiri sağlayan bir wrapped versiyonuna dönüştürüyorsunuz.

Projenin merkezi Aptos. Burada token adı aBTC. Mayıs 2025’te Aptos’ta toplam kilitli varlık miktarı (TVL) 878 milyon dolara ulaşmıştı, şu anda yaklaşık 254 milyon dolar seviyesinde seyrediyor.

Echo, Monad’ın ana ağ (mainnet) ekosistem hamlesinin bir parçası olarak buraya genişledi. Monad’da ise wrapped BTC token’ı eBTC adını aldı.

Buradaki kritik nokta şu: aBTC ve eBTC tamamen ayrı, birbirine bridge’lenemeyen varlıklar. Yani iki farklı platformda paralel olarak çalışıyorlar ve bağlantıları yok. Hack, yalnızca Monad’daki eBTC’ye vurdu.

Monad

Yeni nesil, yüksek performanslı ve paralel çalışan bir EVM Katman 1 platformu. 2025-26 yıllarının en çok konuşulan zincirlerinden biri. Ana ağı yeni açıldı ve birçok protokol arka arkaya devreye giriyor.

Echo, erken entegre olanlardan biri. Monad’ın kendi altyapısında herhangi bir güvenlik açığı yaşanmadı. Kurucu ortak @keoneHD tüm süreçte ağın normal çalıştığını dile getirdi. Bu, tamamen Monad üzerinde çalışan bir protokolün hatasıydı.

Sponsorlu

To clarify, the Monad network is not affected and is operating normally

Security researchers in their review have determined that ~$816,000 appears to have been stolen as a result of this exploit of @EchoProtocol_ 's eBTC
— Keone Hon (@keoneHD) May 18, 2026

Curvance

Monad üzerinde çalışan bir borç verme protokolü olarak öne çıkıyor. Çalışma mantığı Aave’ye benziyor fakat burada her teminat varlığı kendi izole havuzunda yer alıyor. Yani bir varlık tehlikeye girerse, bu durum protokoldeki diğer teminatları etkilemiyor.

Sistemde eBTC teminat varlığı olarak listelenmişti.

Tornado Cash

Yaptırıma tabi tutulmuş bir ETH karıştırıcısı. ETH yatırıyorsunuz, bambaşka bir cüzdandan ETH alıyorsunuz ve zincir üstü izi yok ediyorsunuz. Hacker’lar için adeta klasik bir çıkış aracı.

Exploit Alert 🚨

According to @dcfgod, @EchoProtocol_ on @monad has been exploited.

The attacker reportedly minted 1,000 $eBTC worth $76.7M and used a previously tested exploit flow to extract funds through Curvance.

So far, the exploiter has:

• Deposited 45 $eBTC ($3.45M)… pic.twitter.com/933n9bbq3X
— Onchain Lens (@OnchainLens) May 18, 2026

Ne İstismar Edildi?

Echo’nun Monad üzerindeki eBTC token’ı, OpenZeppelin’in rol tabanlı erişim kontrolünü kullanan standart bir ERC-20 kontratı. Bu sistem neredeyse tüm büyük DeFi projelerinde standart olarak tercih ediliyor.

Burada iki rol çok kritik:

DEFAULT_ADMIN_ROLE: Ana yetkili rol. Sözleşme üzerindeki diğer tüm rolleri verebilir ya da iptal edebilir.
MINTER_ROLE: mint() çağrısı ile yeni eBTC token’ları oluşturabilir.

Genelde bu haklar sadece Echo ekibinde olur. Mint işlemi de sadece gerçek BTC bir yerde kilitlendiğinde ve buna karşılık eBTC basıldığında yapılır. Sarmalanmış token’ın bütün güven modeli buna dayanıyor.

Ancak Echo burada büyük bir açık verdi.

DEFAULT_ADMIN_ROLE tek bir EOA’da yani sıradan bir cüzdanda tutuluyordu ve bu cüzdanın hiçbir ek koruması yoktu. O cüzdanın anahtarına sahip olan kişi, istediği kadar eBTC mint’leyebiliyordu. Üstelik bunu engelleyecek hiçbir kontrol mekanizması yoktu.

Sonuç olarak 254 milyon doların üzerindeki Echo ekosistemi, tek bir özel anahtarla korunuyordu. O anahtar çalındı. Nasıl çalındığı ise hâlâ bilinmiyor. Oltalama olabilir, ekipten birinin cihazında kötü amaçlı yazılım olabilir, altyapı sızıntısı olabilir, içeriden bir iş olabilir, repo’da gizli anahtar sızdırılmış olabilir veya bir geliştirme aracı üzerinden tedarik zinciri saldırısı olabilir. Echo henüz açıklama yapmadı.

Saldırı Adım Adım Nasıl Gerçekleşti?

Tarih: 18 Mayıs 2026, yaklaşık saat 17:55 (ET)

1. Adım: Saldırganlar, çalınan admin anahtarını kullanarak sıfırdan açtıkları bir cüzdana DEFAULT_ADMIN_ROLE atıyor. Artık onlar da admin!
2. Adım: Bu yeni admin haklarıyla kendilerine MINTER_ROLE atıyorlar. Artık mint’leme yetkileri de var.
3. Adım: mint(attacker_wallet, 1000e8) çağrısı ile kendi cüzdanlarına 1.000 eBTC oluşturuyorlar. Cüzdana yatan tutarın yaklaşık değeri 76,7 milyon dolar. Arkasında gerçek BTC: Sıfır. Bu token’lar tamamen sahte; kimsenin sahip olmadığı, gerçekte var olmayan Bitcoin iddiası.
4. Adım: Orijinal Echo admin’inin ve kendi admin rollerini iptal ediyorlar. Böylece zincir üstünde daha az şüphe çekmek için izlerini siliyorlar. Dışarıdan bakıldığında, 1.000 eBTC tutan rastgele bir cüzdan gibi görünüyor.

Bu noktada, peg (BTC ile eBTC arasındaki denge) matematiksel olarak bozuldu. Dolaşımda, arkasında BTC olmayan fazladan 1.000 eBTC var.

Fakat saldırgan hâlâ hiçbir şeyi paraya çevirmemişti. Sahte token’lar, onları gerçek paraya çeviremiyorsanız, değersizdir.

Sistemdeki Paranın Çıkarılması Nasıl Oldu?

Sadece gidip 1.000 sahte eBTC’yi bir DEX’te dump’layamazsınız. Monad’daki DEX’lerin böyle bir likiditesi yok. Fiyatta çakılma olur – bir çuval inciri berbat edersiniz ve arbitrajcı’lar hemen fark eder. Saldırgan başka bir yolu seçti: Borç verme protokolü.

5. Adım. 45 eBTC’yi (yaklaşık 3,45 milyon dolar kâğıt değeri) Curvance’a teminat olarak yatırıyorlar. Çünkü Curvance kontratına göre eBTC, eBTC’dir. Sahte olup olmadığı bilinmiyor. Ne bir oracle kontrolü ne de hangi cüzdandan geldiğine dair bir kontrol var. İşte bu, saldırının ikinci temel açığı – borç verme protokolleri gelen teminatın kaynağına bakmadan kabul ediyor.
6. Adım. Bunun karşılığında 11,29 WBTC kredi çekiyorlar; yaklaşık 868 bin dolar değerinde gerçek Bitcoin! WBTC, Ethereum üzerindeki en büyük BTC token’ı ve yüksek likiditeye sahip, tamamı gerçek BTC ile teminatlandırılmış. Ellerinde artık gerçek değere sahip, yok yere mint’lenen 3,45 milyon dolarlık sahte teminat karşılığında alınmış 868 bin dolar tutarında WBTC var.
7. Adım. WBTC’yi Ethereum’a bridge’liyorlar. Likidite orada, Tornado Cash de orada çalışıyor.
8. Adım. WBTC’yi Ethereum’da yaklaşık 384 ETH’ye (yaklaşık 822 bin dolar) takas ediyorlar.
9. Adım. 384 ETH’yi Tornado Cash’ten geçiriyorlar. İz yok. Fonlar yeniden oluşturulmuş cüzdanlara aktarılıyor ve takip edilemez hale geliyor.

Sistemde gerçek paraya çevrilen toplam tutar: Yaklaşık 816 bin dolar.

Echo Olayı Nasıl Yönetti?

Hack’in duyulmasının ardından saatler içinde, Echo yönetici anahtarını geri aldı, saldırganın cüzdanından kalan 955 eBTC’yi (artık var olmayan eBTC) yaktı ve Monad üzerindeki tüm zincirler arası işlemleri duraklattı.

Aptos köprüsü ve Aptos borç verme işlemleri de güvenlik için durduruldu, halbuki Aptos’ta bir sıkıntı yoktu. Monad’da etkilenen işlemleri kısıtlamak için sözleşme güncellendi ve diğer EVM köprü dağıtımlarında da önlem alınacağı açıklandı.

Curvance, eBTC pazarını askıya aldı, protokol kontratlarında bir sorun olmadığını doğruladı ve izole piyasa yapısı sayesinde diğer borç verme havuzlarının zarar görmediğini belirtti.

Monad’dan Keone, zincirin saldırıdan etkilenmediğini vurguladı ve gerçek kaybın yaklaşık 816 bin dolar olduğunu açıkladı.

Neler Oldu? Detaylar ile Karşılaştırmalı Analiz

Aradaki 76,7 milyon dolar ile 816 bin dolar farkı, tüm olayın özeti gibi. Curvance, saldırganın parayı çıkarması için tek gerçek çıkış oldu ve protokoldeki derinlik, 868 bin dolar kredi limitiyle sınırlı kaldı.

Basılan eBTC	1.000 (nominal 76,7 milyon dolar)
Curvance’e yatırılan	45 eBTC
Ödünç alınan WBTC	11,29 (~868 bin dolar)
Tornado’dan geçirilen	~384 ETH (~822 bin dolar)
Gerçekten çalınan	~816 bin dolar
Echo tarafından yakılan eBTC	955
Aptos pozisyonu	~71 bin dolar
ECHO zarar oranı	%11-%12

Kalan 955 eBTC için bir çıkış yolu kalmamıştı; Echo yakma işlemi gerçekleştirdi. Monad’ın zayıf likiditesi, Echo’nun çok daha büyük bir zarardan kurtulmasını sağladı. Bu olay Ethereum ağında yaşansaydı yaklaşık 76 milyon dolar havaya uçacaktı.

Bu Neden Akıllı Kontrat Değil Operasyonel Hack?

Burada kod kaynaklı bir sorun yoktu. Kod, olması gerektiği gibi çalışıyordu. Asıl problem, Echo’nun kontrat çevresindeki süreçleri yönetim şekliydi:

Yönetici rolü tek bir cüzdanda tutuldu. Çoklu imza (multisig) yerine tek bir özel anahtarı ele geçirmek, tüm protokolün kontrolünü ele almaya yetti.
Zaman kilidi (timelock) yoktu. Saldırgan kendine yönetici ve ardından minter yetkisi verdiğinde bu değişiklikler anında devreye girdi. Ne gecikme oldu ne de ekibin hareket edip müdahale etmesine fırsat.
Kontratta maksimum arz sınırı bulunmuyordu. Sıfır BTC teminatla 1.000 eBTC basmak, kontratın teknik kurallarına tamamen uygundu.
Herhangi bir limitlendirme de yoktu. Saldırgan tüm 1.000 eBTC’yi tek işlemde bastı; buna engel olacak hiçbir mekanizma çalışmadı.
Curvance, yeni basılan eBTC’yi ek teminat olarak kabul etti ve teminatın gerçekten desteklenip desteklenmediğini kontrol etmedi. Lending piyasası, cüzdandaki eBTC token’larını gerçekleriyle aynı gördü.

Bunların hiçbiri mucize ya da deneysel çözümler değil. Çoklu imzalı cüzdanlar, zaman kilitleri, basım (mint) limitleri ve arz kontrolleri ciddi DeFi protokollerinin yıllardır standart olarak sunduğu özellikler. Echo ise bunların hiçbirini önemsemedi.

2026 Mayıs’ında Bilanço Böyle

Echo, bu ay gerçekleştirilen 14. hack vakası oldu. Yılın genel tablosu ise şöyle:

Protokol	Kayıp	Saldırı Vektörü
KelpDAO (Nisan)	292 milyon dolar	RPC zehirlenmesi + DDoS (Lazarus)
Drift	285 milyon dolar	Sosyal mühendislik (Lazarus, UNC4736)
THORChain (15 Mayıs)	10 milyon dolar+	Kasadan varlık çalma
Verus bridge (17 Mayıs)	11,6 milyon dolar	Zincirler arası doğrulama
Echo (18 Mayıs)	816 bin dolar	Yönetici anahtarı
Transit Finance	1,88 milyon dolar	Kullanımı bırakılmış kontrat

2026 yılında köprü protokollerinden toplamda yaklaşık 328,6 milyon dolar sekiz ayrı olayda çalındı. Bunların hiçbiri Solidity açığı değildi. Anahtarlar, imzalayıcılar, RPC bağlantı noktaları, zincir dışı doğrulayıcılar: paralar artık buralardan çıkıyor. Saldırganlar ağı daha yukarıya taşıdı. İşte bu yıl izlenmesi gereken bazı kritik olaylar:

Drift (Nisan): Teknik bir açıktan kaynaklanmadı. UNC4736 (Kuzey Kore) Drift çalışanlarını altı ay boyunca sosyal mühendislikle hedef aldı, ardından 285 milyon doları yalnızca 12 dakikada cüzdanlara aktardı. Altı ay hazırlık, 12 dakika uygulama. Bu bir hack değil, neredeyse askeri bir operasyon!
KelpDAO (17 gün sonra): Aynı grup, tamamen farklı bir yöntem. LayerZero’nun RPC altyapısını zehirleyip zincirler arası sahte mesajlarla 292 milyon doları ele geçirdiler. Devlet destekli ekipler, farklı saldırı yöntemlerini aynı anda devreye alıyor.
Yapay zeka şimdi arenada: Google, 11 Mayıs’ta ilk yapay zekâ destekli büyük hack’i doğruladı (AI, sıfır-gün bir açık tespit edip 2FA korumasını aşacak kod yazdı). GoPlus’a göre Web3’teki aylık kayıp, AI kaynaklı saldırıların da etkisiyle %231 arttı. CrowdStrike, ortalama eCrime (siber suç) sızma süresinin 29 dakika olduğunu, en hızlı saldırının ise 27 saniyede gerçekleştiğini açıkladı. Saldiri tarafı otomasyonu hızla benimserken, savunma tarafı henüz yeterince gelişemedi.
Resolv Labs (Mart): Stablecoin ihraç eden bir protokolde yönetici anahtarı ele geçirildi. Saldırgan, 80 milyon teminatsız USR bastı, 25 milyon dolar çekti ve USR’nin fiyatı %80 oranında sapmaya uğradı. Aynı temel sebep: tek anahtar, farklı protokol. Görünüşe göre saldırganlar ne inşa ettiğinizi umursamıyor.

Ondo Finance olayı oldukça net özetledi: ‘savunmanız gereken tek tip zafiyet yok’ dedi. Hâlâ çoğu protokolün içselleştiremediği gerçek bu.

Dolayısıyla Echo’nun admin anahtarı çalınarak soyulması tesadüf değil. DeFi tarihinin en saldırgan ve tehlikeli ortamında gerçekleşti ve protokol sanki hâlâ 2022’ymiş gibi kurulmuştu.

Peki Şimdi Ne Olacak?

DeFi ekosistemi son beş yılda akıllı kontrat güvenliği konusunda epey yol kat etti. Denetimler, ödül programları ve resmi doğrulamalar artık neredeyse standart.

Ancak saldırganlar hedef değiştirdi. Kodu bırakıp anahtarlar, altyapılar, çalışanlar ve imzalayıcılar gibi alanlara odaklandılar. Bunların hiçbiri denetlenmiyor.

Herhangi bir wrapped BTC protokolünde, gerçekten sorulması gereken tek güvenlik sorusu: Kim basım yapabilir ve bu yetki ne kadar kolay başkasına kaptırılabilir?

Eğer cevap ‘timelock’lu bir multisig, basım limiti ve lending piyasasında yeni teminatın kaynağının kontrol edilmesi’ ise elinizde gerçek bir protokol var demektir. Cevap ‘tek cüzdan, tek anahtar’ ise, orada alınmayı bekleyen koca bir 254 milyon dolar duruyor. Echo, ikinci gruba giriyordu.

Zarar sadece bir yerde kalmıyor. Aave, nisan ayında hack’lenmedi. Ancak KelpDAO saldırısından sonraki 48 saatte TVL’si 5,4 milyar dolar azaldı. Yatırımcılar panikledi ve herkes parasını çekti. Bugün manzara bu: Bir protokol darbe yediğinde tüm sektör yeniden fiyatlanıyor.

Bu çözümler yeni değil. Yıllardır biliniyor. Admin’i multisig yapmak, değişikliklere timelock eklemek, arzı sınırlamak ve teminatı kontrol etmek… Ancak bunların hiçbiri bir protokolü ön yüzde daha rekabetçi yapmaz. O yüzden kimse, manşetlere konu olana kadar bu güvenlik önlemlerini uygulamıyor.

Echo, Monad’ın likiditesinin yeterince derin olmaması nedeniyle saldırganın tamamen nakde çeviremeyişiyle ucuz atlattı. Muhtemelen sıradaki protokol böyle bir bahaneyi öne süremeyecek.