Decentralizovani finansijski protokol Echo Protocol pretrpeo je ozbiljan bezbednosni incident nakon što je napadač kompromitovao admin privatni ključ i mintovao otprilike 1.000 eBTC tokena na Monad blockchain-u. Analitička kompanija za blockchain PeckShield i servis za nadzor na lancu Lookonchain identifikovali su iskorišćenje 19. maja, napominjući da mintovani sintetički tokeni Bitcoina imaju nominalnu vrednost od otprilike 76,7 miliona USD.
Detalji istrage ukazuju da je iskorišćenje nastalo kao rezultat operativnih grešaka u konfiguraciji, a ne usled ranjivosti koda pametnog ugovora. Uloga admina sa jednim potpisom, odsustvo modula upravljanja sa više potpisa i nedostatak ograničenja snabdevanja omogućili su napadaču da pozove mint funkciju bez pokretanja internih provera ispravnosti snabdevanja. Mehanizmi vremenskog zaključavanja (timelock) i ograničenja protoka nisu bili angažovani, što je omogućilo trenutnu neovlašćenu kreaciju tokena.
Posle mintovanja, napadač je pokušao da opere deo prihoda polaganjem 45 eBTC u Curvance lending i protokol za upravljanje likvidnošću. Napadač je pozajmio 11,3 Wrapped Bitcoin (wBTC) protiv depozita, prevezao sredstva na Ethereum i zamenio tokene za 384 ETH. Tornado Cash korišćen je kao servis za mešanje, kroz koji je prosleđeno ETH u vrednosti od 822.000 USD. Forenzički podaci blokčejna pokazuju da je 955 eBTC, vrednosti od oko 73 miliona USD, ostalo na napadačkoj adresi dok Echo Protocol nije povratio kontrolu nad kompromitovanim admin ključem. Administratori protokola su naknadno spalili 955 eBTC, neutralizujući većinu neovlašćene ponude.
Izjave tima protokola potvrdile su da cross-chain transakcije ostaju suspendovane dok se ne uradi potpuna revizija upravljačkih i operativnih kontrola. Ko-osnivač Monad mreže Keone Hon potvrdio je da osnovni layer-1 blockchain nije pogođen i da normalno funkcioniše. Curvance je pauzirao pogođeno eBTC tržište kako bi se ublažio rizik i sprečile sekundarne zloupotrebe.
Ovaj incident ukazuje na široku eskalaciju iskorišćavanja DeFi protokola tokom 2026. godine, jer operativne greške u upravljanju postaju fokus napadača. Zapaženi primeri uključuju THORChain-ov exploit od 10 miliona USD od 15. maja i Verus Protocol cross-chain bridge hak koji je ispraznio 11,6 miliona USD. Zajednički gubici od napada na protokole u maju sada prelaze 100 miliona USD, podstičući pozive za standardizovane operativne revizije i modele upravljanja sa više potpisa u implementacijama pametnih ugovora.
Stručnjaci za bezbednost preporučuju usvajanje ugovora o vremenskom zaključavanju (timelock), ograničenja snabdevanja, uloga sa više potpisa i okvira decentralizovane autonomne organizacije (DAO) kako bi se smanjili rizici od jedne tačke kvara. Učesnici industrije očekuju Echo Protocol-ov post-mortem izveštaj kako bi se procenila dugoročna poboljšanja upravljanja i planovi restitucije za pogođene pružaoce likvidnosti i vlasnike tokena.
Коментари (0)