Het gedecentraliseerde finance-protocol Echo Protocol heeft een groot beveiligingsincident meegemaakt nadat een aanvaller de privé-sleutel van de beheerder in handen kreeg en ongeveer 1.000 eBTC-tokens op de Monad-blockchain heeft gemunt. Het blockchain-analistiekbedrijf PeckShield en de on-chain bewakingsdienst Lookonchain identificeerden allebei de exploit op 19 mei, waarbij werd opgemerkt dat de gemunte synthetische Bitcoin-tokens een nominale waarde hadden van ongeveer 76,7 miljoen dollar.

De details van het onderzoek geven aan dat de exploit het gevolg was van operationele configuratiefouten in plaats van kwetsbaarheden in de smart-contract-code. Een admin-rol met één handtekening, het ontbreken van een multi-signature governance-module en gebrek aan aanbodplafonds maakten het de aanvaller mogelijk de mint-functie aan te roepen zonder interne controles op het aanbod te activeren. De timelock- en rate-limiting-mechanismen van het protocol waren niet ingeschakeld, waardoor de creatie van tokens onmiddellijk zonder toestemming kon plaatsvinden.

Na het minten probeerde de aanvaller een deel van de opbrengsten wit te wassen door 45 eBTC te storten in het Curvance-lening- en liquiditeitsbeheerprotocol. De aanvaller leende 11,3 wrapped Bitcoin (wBTC) tegen de storting, bracht gelden over naar Ethereum en ruilde tokens om voor 384 ETH. Tornado Cash werd gebruikt als mengdienst, waardoor ETH ter waarde van $822.000 werd omgeleid. Blockchain-forensische gegevens tonen aan dat 955 eBTC, met een waarde van ongeveer $73 miljoen, in het adres van de aanvaller bleven totdat Echo Protocol de controle over de gecompromitteerde beheerderssleutel herwon. De protocolbeheerders hebben vervolgens de 955 eBTC verbrand, waardoor het grootste deel van de ongeautoriseerde voorraad werd geneutraliseerd.

Het protocolteam bevestigde dat cross-chain transacties voorlopig zijn opgeschort in afwachting van een volledige audit van governance- en operationele controles. Co-founder Keone Hon van het Monad-netwerk stelde vast dat de onderliggende laag-1-blockchain onaangetast bleef en de normale activiteiten doorgingen. Curvance heeft de getroffen eBTC-markt gepauzeerd om risico's te beheersen en secundaire exploits te voorkomen.

Het incident onderstreept een industriebrede toename van exploits bij DeFi-protocollen in 2026, doordat operationele governance-fouten de aandacht van aanvallers trekken. Bekende voorbeelden zijn de $10 miljoen-exploit bij THORChain op 15 mei en de cross-chain brug-hack van Verus Protocol die $11,6 miljoen heeft gestolen. De gecombineerde verliezen door protocol-hacks in mei bedragen nu meer dan $100 miljoen, wat oproept tot gestandaardiseerde operationele audits en multi-signature governance-modellen in smart contract-implementaties.

Veiligheidsexperts raden aan timelock-contracten, aanbodplafonds, multi-signature-rollen en decentrale autonome organisaties (DAO's) te adopteren om het risico van een enkel faalpunt te beperken. De industrie-deelnemers wachten op het post-mortem-rapport van Echo Protocol om de langetermijnverbeteringen in governance en restitutieplannen voor getroffen liquiditeitsverschaffers en tokenhouders te beoordelen.