Exploits des protocoles Echo émettent 76,7 M$ de eBTC non autorisés.

Le protocole de finance décentralisée Echo Protocol a subi un incident de sécurité majeur après qu'un attaquant a compromis la clé privée d'administrateur et a minté environ 1 000 jetons eBTC sur la blockchain Monad. La société d'analyse blockchain PeckShield et le service de surveillance sur chaîne Lookonchain ont tous deux identifié l'exploit le 19 mai, notant que les jetons Bitcoin synthétiques mintés avaient une valeur notionnelle d'environ 76,7 millions de dollars. Les détails de l'enquête indiquent que l'exploitation résulte de configurations opérationnelles erronées plutôt que de vulnérabilités du code des contrats intelligents. Un rôle d'administrateur à signature unique, l'absence d'un module de gouvernance à signatures multiples et l'absence de plafonds d'offre ont permis à l'attaquant d'invoquer la fonction de mint sans déclencher les vérifications internes de la cohérence de l'offre. Les mécanismes de timelock et de limitation de débit du protocole n'ont pas été activés, permettant la création instantanée de jetons non autorisés. Après l'émission, l'attaquant a tenté de blanchir une partie des fonds en déposant 45 eBTC dans le protocole Curvance de prêt et de gestion de la liquidité. L'attaquant a emprunté 11,3 wrapped Bitcoin (wBTC) contre le dépôt, a transféré des fonds vers Ethereum via un pont et a échangé ces jetons contre 384 ETH. Tornado Cash a été utilisé comme service de mixage, à travers lequel 822 000 dollars en ETH ont été routés. Les données médico-légales de la chaîne montrent que 955 eBTC, d'une valeur d'environ 73 millions de dollars, restaient dans l'adresse de l'attaquant jusqu'à ce que Echo Protocol reprenne le contrôle de la clé d'administrateur compromise. Les administrateurs du protocole ont ensuite brûlé les 955 eBTC, neutralisant la majeure partie de l'offre non autorisée. Les déclarations de l'équipe du protocole ont confirmé que les transactions inter-chaînes restaient suspendues dans l'attente d'un audit complet des mécanismes de gouvernance et des contrôles opérationnels. Le co-fondateur du réseau Monad, Keone Hon, a confirmé que la blockchain de niveau 1 sous-jacente n'était pas affectée et continuait de fonctionner normalement. Curvance a mis en pause le marché eBTC affecté afin de contenir le risque et d'empêcher de nouvelles failles. Cet incident souligne une flambée à l'échelle de l'industrie des exploits de protocoles DeFi en 2026, alors que les défaillances de la gouvernance opérationnelle deviennent des points focaux pour les attaquants. Parmi les exemples notables figurent l'exploit de THORChain de 10 millions de dollars le 15 mai et le piratage du pont cross-chain Verus Protocol qui a drainé 11,6 millions de dollars. Les pertes combinées dues aux piratages de protocoles en mai dépassent désormais 100 millions de dollars, alimentant les appels à des audits opérationnels standardisés et à des modèles de gouvernance à signatures multiples dans les déploiements de contrats intelligents. Les experts en sécurité recommandent l'adoption de contrats timelock, de plafonds d'offre, de rôles à signatures multiples et de cadres d'organisation autonome décentralisée (DAO) pour atténuer les risques de point de défaillance unique. Les acteurs du secteur attendent le rapport post-mortem d'Echo Protocol afin d'évaluer les améliorations de la gouvernance à long terme et les plans de restitution pour les fournisseurs de liquidité et les détenteurs de jetons affectés.