去中心化金融協議 Echo Protocol 在攻擊者入侵管理員私鑰並於 Monad 區塊鏈鑄造大約 1,000 枚 eBTC 代幣後,遭遇重大安全事件。區塊鏈分析公司 PeckShield 與鏈上監控服務 Lookonchain 於 5 月 19 日辨識到該漏洞,指鑄造的合成比特幣代幣名義價值約為 7670 萬美元。
調查細節顯示,此次漏洞源於營運配置失當,而非智慧合約程式碼漏洞。單一簽名的管理員角色、缺乏多簽治理模組以及缺乏供應上限,使攻擊者能在未觸發任何內部供應健全性檢查的情況下調用鑄造函數。該協議的時間鎖機制與速率限制機制未被啟用,允許即時未經授權的鑄造。
鑄造完成後,攻擊者嘗試透過將 45 枚 eBTC 存入 Curvance 出借與流動性管理協議,以洗錢部分收益。攻擊者以該存款作抵押借出 11.3 枚 wrapped Bitcoin (wBTC),再跨鏈至以太坊並把代幣換成 384 ETH。Tornado Cash 被用作混幣服務,透過該服務路由價值 82.2 萬美元的 ETH。區塊鏈取證數據顯示,955 枚 eBTC,價值約為 7300 萬美元,長留於攻擊者地址,直到 Echo Protocol 重新取得被妥協的管理員私鑰為止。協議管理員隨後銷毀 955 枚 eBTC,將未經授權的供應大部分中和。
協議團隊聲明稱,跨鏈交易仍被暫停,待就治理與運營控制進行全面審計。Monad 網絡的共同創始人 Keone Hon 證實底層的 layer-1 區塊鏈未受影響,並繼續正常運作。Curvance 已暫停受影響的 eBTC 市場以控制風險並防止二次利用。
此事件凸顯 2026 年 DeFi 協議被利用的全行業激增,因為營運治理失效成為攻擊者的焦點。著名案例包括 THORChain 在 5 月 15 日發生的 1000 萬美元漏洞,以及 Verus Protocol 跨鏈橋漏洞,造成 1160 萬美元損失。五月份各協議漏洞的綜合損失現已超過 1 億美元,促使人們呼籲在智能合約部署中採用標準化的營運審計與多簽治理模型。
安全專家建議採用時間鎖合約、供應上限、多簽角色,以及去中心化自治組織(DAO)框架,以降低單點故障風險。業界參與者期待 Echo Protocol 的事後報告,以評估長期治理改進以及受影響的流動性提供者和代幣持有人的賠償計劃。
評論 (0)