El protocol de finances descentralitzades Echo Protocol va patir un incident de seguretat important després que un atacant comprométés la clau privada d'administrador i emetés aproximadament 1.000 tokens eBTC a la cadena Monad. L'empresa d'analítica de blockchain PeckShield i el servei de monitorització en cadena Lookonchain van identificar l'explotació el 19 de maig, assenyalant que els tokens sintètics de Bitcoin creats tenien un valor nominal d'aproximadament 76,7 milions de dòlars.
Detalls de la investigació indiquen que l'explotació va ser causada per configuracions operatives inadequades, i no per vulnerabilitats en el codi del contracte intel·ligent. El rol d'administrador amb signatura única, l'absència d'un mòdul de governança amb signatura múltiple i la manca de límits de subministrament van permetre a l'atacant invocar la funció de mint sense activar cap comprovació interna de la integritat del subministrament. Els mecanismes de timelock i de limitació de ràtio del protocol no van activar-se, permetent la creació instantània de tokens no autoritzada.
Després de la emissió, l'atacant va intentar blanquejar part dels beneficis dipositant 45 eBTC al protocol Curvance de préstecs i gestió de liquiditat. L'atacant va prestar 11,3 wBTC contra el dipòsit, va traslladar fons a Ethereum i va intercanviar tokens per 384 ETH. Tornado Cash va ser utilitzat com a servei de mescla, a través del qual es van canalitzar 822.000 dòlars en ETH. Dades forenses de la cadena de blocs indiquen que 955 eBTC, valorats en aproximadament 73 milions de dòlars, van romandre a l'adreça de l'atacant fins que Echo Protocol va recuperar el control de la clau d'administrador compromesa. Els administradors del protocol van cremar posteriorment els 955 eBTC, neutralitzant la major part de l'oferta no autoritzada.
Les declaracions de l'equip del protocol confirmen que les transaccions entre cadenes continuen suspeses fins a una auditoria completa dels controls de governança i operacionals. Keone Hon, cofundador de Monad, va verificar que la cadena de capa 1 subjacent no s'havia vist afectada i que les operacions normals continuaven. Curvance va aturar el mercat eBTC afectat per contenir el risc i evitar explotacions secundàries.
L'incident subratlla un augment a escala de la indústria d'exploits en protocols DeFi durant el 2026, ja que les falles de governança operativa esdevenen punts centrals per als atacants. Exemples notables inclouen l'explotació de THORChain de 10 milions de dòlars el 15 de maig i el hack del pont cross-chain del Verus Protocol que va drenar 11,6 milions de dòlars. Les pèrdues totals per hacks de protocols al maig ja superen els 100 milions de dòlars, alimentant crides a auditories operacionals estandarditzades i a models de governança amb signatura múltiple en implementacions de contractes intel·ligents.
Els experts en seguretat recomanen l'adopció de contractes de bloqueig temporal (timelock), límits de subministrament, rols de signatura múltiple i marcs d'Organització Autònoma Descentralitzada (DAO) per mitigar riscos de punt de fallada única. Els participants de la indústria esperen l'informe post-mortem d'Echo Protocol per avaluar les millores de governança a llarg termini i els plans de restitució per als proveïdors de liquiditat afectats i els titulars de tokens.
Comentaris (0)