去中心化金融协议 Echo Protocol 在攻击者窃取管理员私钥并在 Monad 区块链上铸造约 1,000 枚 eBTC 代币后,发生了一起重大安全事件。区块链分析公司 PeckShield 与链上监控服务 Lookonchain 于 5 月 19 日确认了此漏洞,指出铸造的合成比特币代币的名义价值约为 7,670 万美元。
调查细节显示,此次漏洞源于运营配置错误,而非智能合约代码漏洞。单签名管理员角色、缺乏多签治理模块以及缺乏供应上限,使攻击者能够在不触发内部供应合规性检查的情况下调用铸币函数。协议的时间锁和速率限制机制未启用,允许即时的未授权代币创建。
铸币后,攻击者试图通过将 45 枚 eBTC 存入 Curvance 借贷与流动性管理协议来洗钱部分收益。攻击者以存款为抵押借入 11.3 枚 Wrapped Bitcoin(wBTC),并将资金跨链到以太坊,然后将代币兑换为 384 ETH。Tornado Cash 被用作混币服务,通过该服务路由了价值约 82.2 万美元的 ETH。区块链取证数据表明,攻击者地址中仍然持有 955 枚 eBTC,估值约 7300 万美元,直至 Echo Protocol 重新获得被盗管理员私钥的控制权。协议管理员随后销毁了这 955 枚 eBTC,抵消了大部分未授权的供应。
协议团队的声明确认跨链交易仍然暂停,等待对治理与运营控制进行全面审计。Monad 网络联合创始人 Keone Hon 证实,底层的 Layer-1 区块链未受影响,仍在正常运作。Curvance 暂停了受影响的 eBTC 市场以控制风险并防止二次利用。
此次事件凸显了 2026 年 DeFi 协议被攻击的行业性增多,因为运营治理失败成为攻击者关注的焦点。值得注意的案例包括 THORChain 于 5 月 15 日的 1000 万美元漏洞,以及 Verus Protocol 的跨链桥攻击,造成 1160 万美元损失。5 月份的协议黑客事件累计损失现在已超过 1 亿美元,推动呼吁在智能合约部署中采用标准化的运营审计和多签治理模型。
安全专家建议采用时间锁合约、供应上限、多签角色,以及去中心化自治组织(DAO)框架,以降低单点故障风险。行业参与者正在等待 Echo Protocol 的事后分析报告,以评估长期治理改进以及对受影响的流动性提供者与代币持有者的赔偿计划。
评论 (0)