エコープロトコル不正流出　7600万ドルの“実質的非ハッキング”

2026年、DeFiの損失は4カ月で10億ドルを突破。4月単月では28件超の事案で6億3400万ドルが流出し、過去最悪の月となった。

Drift（2億8500万ドル）とKelpDAO（2億9200万ドル）の2件だけで、4月の損失のうち5億7700万ドルを占めた。いずれもコードの脆弱性によるものではなかった。

DefiLlamaによる2026年のハック内訳も同様の結果となった。

主な要因は、LayerZeroブリッジの悪用（18％）、管理者キーの流出（16％）、偽トークン（14％）、秘密鍵の漏洩（11％）となった。

運用や鍵管理の失敗が、今年の盗難被害額の大半を占める。再入やオラクル操作といったスマートコントラクトのバグはごくわずかである。

直近の事例はEcho Protocolである。

5月18日に攻撃者がMonad上のEcho Protocolに不正侵入し、自身用に偽eBTCを1000枚発行した。理論値で7670万ドル相当となる。

ただし、偽トークンを本物の資産に交換できなければ価値は無い。そのため攻撃者は小口で偽eBTCをCurvanceのレンディングアプリに担保として預け、実際のビットコインを借りた。

そのビットコインをEthereumにブリッジし、ETHにスワップ後、Tornado Cashで資金洗浄した。最終的な利益は約81万6000ドル。

多くの報道で「7670万ドル」とされているが、実際に奪われたのは81万6000ドル。この差額こそ今回の本質である。

この記事では、今回の経緯、手口、そしてDeFiセキュリティの現状を解説する。

結論：契約コード自体は問題なかった。管理者キーの流出と検証体制の甘さが全ての要因。2026年DeFi損失の多くが同様の構造となっている。

事後分析（概要）

• Echo Protocolはスマートコントラクトの脆弱性では攻撃されていない。攻撃者が管理者キーを奪取またはアクセスした。
• その管理者キーにはMonad上のEcho eBTCトークンのミント権限があった。キー1本で偽のBTC裏付けトークンを発行可能だった。
• 攻撃者は理論値で7670万ドル相当の偽eBTCを1000枚発行。しかし実際にはBTC裏付けの無いトークンだった。
• Monad上の流動性が薄かったため、全額換金できなかった。Curvanceへ偽eBTCのうち45枚を担保に供した。
• Curvanceは偽eBTCを本物とみなして担保受け入れ、攻撃者に実際のWBTCを貸し付けた。
• 攻撃者が手にした実被害額は81万6000ドルであり、7670万ドルではなかった。
• Echoは残りの偽eBTC955枚をバーンし、関連機能を停止した。
• Monad自体は侵害されていない。Curvance本体も直接の被害はなし。根本原因はEchoの管理体制とCurvanceによる新規担保への信頼だった。
• 今回の教訓：DeFi攻撃者は今や、スマートコントラクトのバグよりも、鍵・管理者・ブリッジ・インフラや運営体制を積極的に狙っている。
• 対策例としては、マルチシグ管理、タイムロック、ミント上限、レート制限、担保審査などで損失を抑えることができた。
• Echoは幸運だった。攻撃者がより大きな被害を出せなかったのは、偽トークンの換金先流動性が十分でなかったためである。

主な関係者・プロトコル

詳細な経緯と仕組みは以下の通りである。

• Echo Protocol

BTCFi（ビットコインDeFi）プロジェクト。主な提案は「BTCを入れると、DeFi活用可能な利回り付きラップド資産を得られる」というもの。

本拠はAptosで、該当トークンはaBTC。2025年5月にはAptos上でTVL8億7800万ドルに到達したが、直近は2億5400万ドル程度。

EchoはMonadのメインネット推進事業の一環として展開。Monad上でのラップドBTCはeBTCと呼ばれる。

重要な点として、aBTCとeBTCは完全に別系統の非ブリッジ資産。並行拠点であり、相互接続はない。今回の攻撃はMonad上のeBTCのみ影響を及ぼした。

• Monad

2025年から26年に話題となった高性能並列型EVM L1チェーン。メインネット公開直後で、各プロトコルの新規展開が相次いでいる。

Echoもその一つ。Monad自体は一切の侵害を受けていない。共同創業者@keoneHD が、ネットワークは終始正常稼働していたと説明。あくまでMonad上層のプロトコルレベルの問題だった。

• Curvance

Monad上で稼働するレンディングプロトコル。Aaveと同様の機能を持つが、各担保資産が独立したプールで管理されるため、特定の資産が不正に侵害されても他の貸出資産に波及しない設計。

eBTCを担保資産として上場していた。

• Tornado Cash

制裁対象となっているETHミキサー。ETHを送金すると、異なるウォレットからETHを受け取り、オンチェーンの履歴を断つ仕組み。ハッカーがよく使う出金ツール。

流出の経緯

EchoのeBTCトークン（Monad上）は、OpenZeppelinのロールベースアクセス制御を利用した標準的なERC-20コントラクト。事実上すべての主要DeFiプロジェクトが採用する業界標準仕様。

この設定で重要な役割は2種類。

• DEFAULT_ADMIN_ROLE：マスターロール。他の全てのロールの付与・剥奪が可能。
• MINTER_ROLE：mint()を実行し、新規eBTCトークンを発行できる。

通常、これらのロールはEchoのチームのみが保持する。実際のBTCがどこかでロックされた時だけ、チームが対応するeBTCを発行。この信頼モデルが「ラップドトークン」の前提。

ここでEchoの重大なミスがあった。

DEFAULT_ADMIN_ROLEは1つのEOA（単独ウォレット）に設定されていた。秘密鍵1つで運用され、保護手段はなかった。鍵を所有した者は、好きなだけトークンを発行でき、何ものにも制限されなかった。

結果として、254億ドル超のEchoエコシステム全体が、1つの秘密鍵を基点にセキュリティを保っていた。この鍵が盗まれた。流出経路は不明。フィッシング、マルウェア、インフラ侵害、内部犯行、リポジトリからの漏洩、開発ツールからのサプライチェーン攻撃などが考えられる。Echoは詳細を明かしていない。

攻撃の流れ

日付：2026年5月18日、米東部時間午後5時55分頃

• ステップ1：攻撃者が盗まれた管理者鍵で新たなウォレットにDEFAULT_ADMIN_ROLEを付与。攻撃者も管理者権限を獲得。
• ステップ2：その新しい管理者権限から、自分自身にMINTER_ROLEを付与。トークン発行が可能に。
• ステップ3：mint(attacker_wallet, 1000e8)を実行。1000 eBTCが攻撃者ウォレットに。時価7670万ドル。裏付けとなるBTCはゼロ。これらトークンは完全に偽物で、実態のないビットコインの請求権。
• ステップ4：元のEcho管理者と自分自身の管理者ロールを剥奪し、証拠隠滅。外部からは単なる「1000 eBTC保有ウォレット」に見える。

この時点でペッグ（1:1担保）は数理的に崩壊した。eBTC総量は実際のBTC担保を1000超過。

ただし現時点では攻撃者も何も得ていない。偽のトークンは現金化しないと価値がない。

資金引き出しの流れ

1000の偽eBTCをDEXに一気に売ることはできない。Monad上のDEXは流動性が圧倒的に不足。売却すれば即座に価格が暴落し、裁定取引者に気付かれる。そこで攻撃者はレンディング市場に向かった。

• ステップ5. 45 eBTC（時価345万ドル）をCurvanceに担保として預け入れ。コントラクト上はeBTCで区別がないため、偽eBTCも正規eBTCも同等に評価。ミント元を判定するオラクルや検証がなかったことが第2の失敗。レンディング市場は新規担保をそのまま受け入れてしまった。
• ステップ6. 11.29 WBTCを担保に借り入れ（時価約86万8000ドル）。WBTCはイーサリアム上の主要BTCトークンで流動性が豊富で、全額裏付けあり。攻撃者は約86万8000ドル分の実体価値を獲得し、担保である偽eBTCは放棄。
• ステップ7. WBTCをイーサリアムにブリッジ。十分な流動性があり、Tornadoも利用可能。
• ステップ8. イーサリアム上でWBTCを約384 ETHに交換（82万2000ドル相当）。
• ステップ9. 384 ETHをTornado Cashでミキシング。履歴は断ち切られ、追跡不可能な新規ウォレットへ送金。

実際の引き出し額はおよそ81万6000ドル。

Echoの対応

ハッキング公開から数時間以内に、Echo側は管理者鍵を奪還し、攻撃者ウォレットに残っていた955 eBTC（既に存在しない）をバーン。Monad上のクロスチェーン機能を全面停止した。

安全策としてAptosブリッジとAptosのレンディングも一時停止（Aptos自体は被害なし）。Monad上で影響を受けた操作の制限を含むコントラクトアップグレードを実施し、他のEVMブリッジデプロイも修正予定と発表。

Curvance側はeBTC市場を停止し、自社コントラクトに問題がないことを確認。独立市場設計によって他のレンディングプールへの波及を防いだと説明。

MonadのKeone氏は、チェーン自体は無傷であり、実被害は約81万6000ドルと明言した。

被害額の内訳

7670万ドルと81万6000ドルの差分が全てを示す。Curvanceだけが現実的に換金可能な抜け道であり、その市場の厚みが借入上限（約86万8000ドル）となった。

残りの955 eBTCには行き先がなく、Echoがそれをバーンするまで滞留した。Monadの低流動性が、Echoの損失拡大を防いだ。イーサリアム上で同様の事象が発生していれば、約7600万ドルが一気に流出する事態だった。

これはスマートコントラクトの脆弱性ではなく運用ミスによるハッキング

コード自体は問題なかった。設計通り動作していた。真の問題は、Echoがコントラクト周辺の運用設計を誤った点にある。

• 管理者権限はマルチシグではなく単一ウォレットで保持されていた。1つの秘密鍵を奪うだけでプロトコル全体の乗っ取りが可能だった。
• タイムロックがなかった。攻撃者が自らに管理者・ミンター権限を付与した場合、その変更は即時有効となった。遅延もなく、チームが異変に気づいて対応する間もなかった。
• コントラクトには最大供給量制限がなかった。eBTCを1000枚、BTCの裏付けなしにミントすることが、コントラクトの仕様上可能だった。
• レート制限もなかった。攻撃者は1000枚全てを1回のトランザクションで発行できた。分割処理の強制もなかった。
• CurvanceはミントされたばかりのeBTCを担保として受け入れたが、その裏付け確認は行っていなかった。レンディング市場は、ウォレット内のeBTCを全て実体のあるトークンとして処理した。

いずれも特殊な対策や実験的な手法ではない。マルチシグ、タイムロック、ミント上限、供給量チェックは、真剣なDeFiプロトコルなら数年前から導入している。Echoはこれらを全く導入しなかった。

2026年5月の現状

Echoは今月発生した14件目のハッキング。これまでの年初来の被害状況は次のとおり。

2026年に発生した8件のブリッジ関連ハッキングによる損失は、合計約3億2860万ドル。いずれもSolidityのバグによるものではなかった。現在、資金流出の要因は鍵・署名者・RPCエンドポイント・オフチェーン検証者などに移っている。攻撃者はターゲットを上位レイヤーへとシフトさせている。今年発生した注目すべき事例は以下の通り。

• Drift（4月）：技術的な脆弱性の悪用ではない。UNC4736（北朝鮮関与）が6か月かけてDriftの従業員をソーシャルエンジニアリングし、12分で2億8500万ドルを流出させた。準備6か月、実行12分。典型的な軍事作戦でありハッキングとは呼べない。
• KelpDAO（その17日後）：同一グループによる全く異なる攻撃手法。LayerZeroのRPCインフラを汚染し、クロスチェーンメッセージを偽装して2億9200万ドルを奪取。国家単位の攻撃チームが複数のアプローチを同時並行で展開している。
• AIも登場：グーグルは5月11日、初のAI主導による大規模エクスプロイトを確認（AIがゼロデイを発見し、2要素認証を回避するコードも自動生成）。GoPlusは、AI関連によるWeb3損失が前月比231％増加と指摘。クラウドストライク調査によれば、平均的なe犯行ブレイクアウトタイムは29分、最速例は27秒。攻撃側のオートメーション化が進む一方、防御側は遅れている。
• Resolv Labs（3月）：ステーブルコイン発行体での管理者鍵流出。攻撃者は裏付けのないUSRを8000万枚ミント、2500万ドルを引き出し、USRが80％デペッグ。同じ原因でEchoとは異なるプロトコルで発生。攻撃パターンは、プロダクトの種類を問わない。

Ondo Financeは、事後分析で「防御すべき脆弱性に単一の分類は存在しない」と明言した。これこそが、多くのプロトコルがいまだに認識できていない要点だ。

つまりEchoが管理者鍵の流出で資産を引き出されたのは、突然の孤発例ではない。DeFi史上最もリスクが高い環境下で、未だ2022年水準の運用体制を続けていた結果といえる。

では、どうするか

DeFiは過去5年でスマートコントラクトのセキュリティ対策を強化させてきた。監査、バグ報奨金、形式的検証も徹底されてきた。

その結果、攻撃者はコードを狙わず、その他全てに攻撃対象を広げた。鍵、インフラ、従業員、署名者。これらは監査が行われていない。

ラップドBTCプロトコルにおける本質的なセキュリティ問いは、「誰がミント権を持ち、その権限がどれほど安全か」ただそれだけである。

その答えが「マルチシグ＋タイムロック＋ミント上限＋新担保の裏付け審査を実施するレンディング市場」であれば、健全なプロトコルといえる。一方で「1つの鍵のみで操作できる単一ウォレット」であれば、2億5400万ドルが盗難リスクに晒されている状態に等しい。Echoは後者だった。

損害は1つのプロトコル内にはとどまらない。Aaveは4月にハッキングされなかったが、KelpDAO流出直後の48時間でTVLが54億ドル減少。投資家心理がパニックになり一斉に資金が引き上げられた。そのような連鎖が今や常態化した。1つのプロトコルがやられれば業界全体が再評価される。

これらの対策は目新しいものではない。数年前から存在している。管理者にマルチシグを設定し、変更にはタイムロックをかけ、供給量に上限を設け、担保を確認する。しかし、これらはプロトコルのフロントエンドで競争力を高める要素とはならないため、誰も次の大きなニュースになるまで実装しないのが現状である。

Echoは被害が軽微で済んだ。モナドの流動性が薄く、攻撃者が完全に現金化できなかったためである。次のプロトコルにはこの言い訳は通じないかもしれない。