分散型金融(DeFi)プロトコルのEcho Protocolは、攻撃者が管理者のプライベートキーを侵害した後、Monadブロックチェーン上で約1,000 eBTCトークンをミントしたことにより重大なセキュリティインシデントに見舞われました。ブロックチェーン分析企業のPeckShieldとオンチェーン監視サービスLookonchainはともに5月19日にこの不正を特定し、ミントされた合成ビットコイントークンの名目価値はおおよそ約7,670万ドルであったと指摘しています。
調査の詳細は、この不正がスマートコントラクトのコードの脆弱性ではなく運用上の設定ミスによるものだと示しています。単一署名の管理者ロール、マルチ署名によるガバナンスモジュールの欠如、供給上限の欠如により、攻撃者は内部の供給健全性チェックを作動させることなくミント機能を呼び出すことができました。プロトコルのタイムロックとレートリミット機構は作動しておらず、即時の不正トークン生成を許していました。
ミント後、攻撃者は収益の一部をマネーロンダリングするため45 eBTCをCurvanceの貸出・流動性管理プロトコルへ預けました。攻撃者は預金を担保に11.3 wBTCを借り、資金をEthereumへブリッジし、トークンを384 ETHへ交換しました。ミキシングサービスとしてTornado Cashを使用し、$822,000相当のETHが流れていきました。ブロックチェーンの法医学データによれば、955 eBTC(約$73,000,000相当)はEcho Protocolが侵害された管理者キーの支配を取り戻すまで攻撃者のアドレスに残っていました。プロトコル管理者はその後955 eBTCを焼却し、ほとんどの不正供給を無効化しました。
プロトコルチームの声明は、ガバナンスと運用統制の全面監査を待つ間、クロスチェーン取引が停止されたままであることを確認しました。Monadネットワーク共同創設者のKeone Hon氏は、基盤となるレイヤー1ブロックチェーンは影響を受けず、通常の運用を継続していることを確認しました。Curvanceは関連するeBTC市場を停止してリスクを抑え、二次的な悪用を防ぎました。
このインシデントは、2026年にかけてDeFiプロトコルの不正が業界全体で急増していることを強調しており、運用ガバナンスの欠陥が攻撃者の焦点となっています。注目すべき例として、THORChainの5月15日の$10,000,000不正やVerus Protocolのクロスチェーンブリッジのハックによって$11,600,000が流出した事例があります。5月のプロトコルハックの総損失は$100,000,000を超え、スマートコントラクトの展開における標準化された運用監査とマルチ署名ガバナンスモデルの導入を求める声を高めています。
セキュリティ専門家は、単一障害点リスクを緩和するために、タイムロック契約、供給上限、マルチシグロール、および分散型自律組織(DAO)フレームワークの採用を推奨しています。業界関係者はEcho Protocolのポストモーテム報告を待ち、影響を受けた流動性提供者とトークン保有者の長期的なガバナンス改善と賠償計画を評価する予定です。
コメント (0)