Protokol keuangan terdesentralisasi Echo Protocol mengalami insiden keamanan besar setelah seorang penyerang berhasil membobol kunci privat admin dan mencetak sekitar 1.000 token eBTC di blockchain Monad. Perusahaan analitik blockchain PeckShield dan layanan pemantauan on-chain Lookonchain keduanya mengidentifikasi eksploitasi itu pada 19 Mei, mencatat bahwa token Bitcoin sintetis yang dicetak memiliki nilai teoretis sekitar 76,7 juta dolar AS.
Rincian investigasi menunjukkan eksploitasi tersebut berasal dari konfigurasi operasional yang salah, bukan kerentanan kode kontrak pintar. Peran admin dengan tanda tangan tunggal, tidak adanya modul tata kelola multi-tanda tangan, dan kurangnya pembatas pasokan memungkinkan penyerang untuk memanggil fungsi mint tanpa memicu pemeriksaan kewajaran pasokan internal. Mekanisme timelock protokol dan pembatasan laju tidak diaktifkan, memungkinkan penciptaan token tanpa otorisasi secara instan.
Setelah pencetakan, penyerang berupaya mencuci sebagian hasilnya dengan menyetor 45 eBTC ke protokol Curvance untuk peminjaman dan pengelolaan likuiditas. Penyerang meminjam 11,3 wrapped Bitcoin (wBTC) terhadap setoran tersebut, mengalihkan dana ke Ethereum, dan menukar token menjadi 384 ETH. Tornado Cash digunakan sebagai layanan pencampur, melalui mana ETH senilai 822.000 dolar AS dialirkan. Data forensik blockchain menunjukkan 955 eBTC, bernilai sekitar 73 juta dolar, tetap berada di alamat penyerang hingga Echo Protocol berhasil mendapatkan kembali kendali kunci admin yang dikompromikan. Administrator protokol kemudian membakar 955 eBTC, menonaktifkan sebagian besar pasokan tidak sah.
Pernyataan tim protokol menegaskan transaksi lintas-rantai tetap ditangguhkan menunggu audit penuh terhadap tata kelola dan kontrol operasional. Co-founder Monad Network, Keone Hon, mengonfirmasi bahwa blockchain lapisan-1 yang mendasarinya tidak terpengaruh dan operasi normal berlanjut. Curvance menunda pasar eBTC yang terdampak untuk membatasi risiko dan mencegah eksploitasi sekunder.
Insiden ini menegaskan lonjakan serangan terhadap protokol DeFi secara industri sepanjang 2026, karena kegagalan tata kelola operasional menjadi fokus serangan para penyerang. Contoh penting termasuk eksploit THORChain senilai 10 juta dolar pada 15 Mei dan peretasan jembatan lintas-rantai Verus Protocol yang menguras 11,6 juta dolar. Kerugian gabungan dari peretasan protokol pada bulan Mei kini melebihi 100 juta dolar, memicu seruan untuk audit operasional standar dan model tata kelola multi-tanda tangan dalam penerapan kontrak pintar.
Para ahli keamanan merekomendasikan adopsi kontrak timelock, batas pasokan, peran multi-tanda tangan, dan kerangka organisasi otonom terdesentralisasi (DAO) untuk mengurangi risiko kegagalan tunggal. Para pelaku industri menanti laporan pasca-mortem Echo Protocol untuk menilai peningkatan tata kelola jangka panjang dan rencana restitusi bagi penyedia likuiditas dan pemegang token yang terdampak.
Komentar (0)