Ang mga pagkukulang na batay sa pag-apruba ay patuloy na nagtutulak ng mga pagsasamantala sa DeFi habang ang mga pagkalugi noong 2026 ay umakyat nang lampas $750 milyon sa buong mundo.
Ang mga bagong pagkabigo sa seguridad ay patuloy na pumipilit sa mga desentralisadong plataporma ng pananalapi noong 2026. Ang pagtaas ng dalas ng pag-atake ay nagtulak sa mga koponan ng protocol na higpitan ang mga audit at suriin nang mas agresibo ang mga pahintulot sa kontrata. Ang Ekubo Protocol ay naging pinakabagong target matapos pagsamantalahan ng mga umaatake ang isang pagkukulang sa imprastraktura ng EVM nito na may kaugnayan sa paghawak ng pag-apruba ng token. Ang insidente ay idinagdag sa lumalagong listahan ng mga pagsasamantala na sumalo na ng daan-daang milyon mula sa mga plataporma ng DeFi ngayong taon.
Tinukoy ng Blockaid ang Kahinaan sa Access-Control sa Likod ng Pag-atake sa Ekubo
Ang Ekubo Protocol ay nawalan ng humigit-kumulang $1.4 milyon sa nakabalot na bitcoin matapos pagsamantalahan ng mga umaatake ang isang kahinaan sa access-control sa mga kontrata ng swap router na nakabatay sa EVM. Sinabi ng kompanya ng blockchain security na Blockaid na ang pagsasamantala ay tinarget ang isang vulnerable na mekanismo ng callback sa pagbabayad sa mga kontrata ng v2 EVM extension ng Ekubo.
Root Cause:
The Ekubo extension implements its IPayer[.]pay callback (selector 0x599d0714, gated to msg.sender == EkuboCore) by doing token.transferFrom(payer, Core, amount) where payer, token, and amount are forwarded straight from the lock payload- i.e. controlled by whoever…
— Blockaid (@blockaid_) May 5, 2026
Ang Ekubo ay nagpapatakbo bilang isang concentrated liquidity AMM, na unang inilunsad sa Starknet at kalaunan ay lumawak sa Ethereum at Arbitrum. Ang plataporma ay kilala sa arkitekturang singleton at modular extension design nito.
Ayon sa Blockaid, minanipula ng mga umaatake ang datos ng payload, kabilang ang mga parameter ng payer, token, at amount. Nabigo umano ang mga kontrata na i-verify kung naaprubahan ng payer ang transaksyon bago isagawa. Ang kahinaang iyon ay nagbigay-daan sa mga umaatake na maubos ang mga wallet na dati nang nagbigay ng mga pag-apruba ng token sa mga apektadong kontrata ng router.
Sinabi ng mga security researcher na isinagawa ng mga umaatake ang pagnanakaw sa pamamagitan ng halos 85 mabilis na transaksyon. Ang mga plataforma ng on-chain monitoring, kabilang ang Cyvers, ay sinubaybayan ang mga ninakaw na pondo matapos alisin ang humigit-kumulang 17 WBTC mula sa isang pangunahing wallet ng biktima. Ang mga asset ay kalaunan ay pinalitan ng WETH at DAI.
Ang mga Pagkalugi sa DeFi ay Lumampas sa $750M Kasunod ng Kamakailang Pagsasamantala
Ang Ekubo ay nagbabala sa mga gumagamit ilang sandali matapos matuklasan ang paglabag. Kinumpirma ng mga miyembro ng koponan na ang pagsasamantala ay nakaapekto lamang sa mga kontrata ng EVM swap router, habang ang mga liquidity provider ay hindi naapektuhan. Sinabi rin ng mga developer na ang pangunahing deployment ng protocol sa Starknet ay patuloy na gumagana nang normal.
Starknet is not affected by the Ekubo router incident.
The issue happened on EVM, where users often leave unlimited token approvals behind.
On Starknet, native Account Abstraction enables a better UX: apps can bundle authorization and execution in the same transaction, so users… https://t.co/ZLMn2RTgdm
— StarkWare 🥷 (@StarkWareLtd) May 6, 2026
Hinimok ang mga gumagamit na bawiin kaagad ang mga natitirang pag-apruba ng token sa pamamagitan ng revoke.cash upang mabawasan ang karagdagang pagkakalantad. Nabanggit din ng Ekubo na ang mga apektadong kontrata ng EVM ay hindi nababago ayon sa disenyo, na iniiwan ang muling pag-deploy bilang ang tanging magagamit na pag-aayos para sa nakompromisong sistema ng router.
Ang pag-atake ay sumasalamin sa isang mas malawak na pattern na nakikita sa buong desentralisadong pananalapi ngayong taon. Ang mga kahinaan na batay sa pag-apruba at mga pagkukulang sa pahintulot ay paulit-ulit na lumitaw sa modular na DeFi protocols, lalo na ang mga humahawak ng cross-chain o extension-based na imprastraktura.
Ang mga pagkalugi na may kaugnayan sa DeFi ay lumampas na sa $750 milyon bago ang pagsasamantala sa Ekubo, ayon sa naunang ulat mula sa The Block. Ang buwan ng Abril lamang ay nagtala ng humigit-kumulang $620 milyon sa mga ninakaw na pondo sa halos 30 magkakahiwalay na insidente.
Ang malalaking paglabag na kinasasangkutan ng Drift Protocol at Kelp DAO ang naging dahilan ng karamihan sa mga pagkalugi ng buwan. Ang mas maliliit na pag-atake laban sa Wasabi Protocol at Volo Protocol ay idinagdag din sa presyur sa isang mahirap na taon para sa seguridad ng DeFi.
Mag-iwan ng Tugon