去中心化金融协议 Echo Protocol 在攻击者窃取管理员私钥并在 Monad 区块链上铸造约 1,000 枚 eBTC 代币后,遭遇重大安全事件。区块链分析公司 PeckShield 和链上监控服务 Lookonchain 均在 5 月 19 日确认了此次漏洞,指出铸造的合成比特币代币名义价值约为 7670 万美元。
调查细节显示,此次漏洞源于运营配置错误,而非智能合约代码漏洞。单一签名的管理员角色、缺乏多签治理模块以及缺乏供应上限,使攻击者能够在不触发任何内部供应量校验的情况下调用铸造函数。协议的定时锁与速率限制机制未被启用,允许即时未经授权的代币创建。
铸造完成后,攻击者试图通过将 45 枚 eBTC 存入 Curvance 借贷与流动性管理协议来洗钱部分收益。攻击者以该存款为抵押借入 11.3 枚包装比特币(wBTC),将资金跨链至以太坊并将代币换成 384 ETH。Tornado Cash 被用作混币服务,通过该服务路由价值 82.2 万美元的 ETH。区块链取证数据表明,价值约 7300 万美元的 955 枚 eBTC 仍滞留在攻击者地址,直到 Echo Protocol 重新掌控被泄露的管理员密钥。协议管理员随后销毁了这 955 枚 eBTC,基本中和了大部分未授权的供应。
协议团队表示,跨链交易仍暂停,待对治理和运营控制进行全面审计。
Monad 网络共同创始人 Keone Hon 证实,底层的第一层区块链未受影响,继续正常运作。Curvance 暂停了受影响的 eBTC 市场以控制风险并防止二次利用。
此次事件凸显了 2026 年 DeFi 协议攻击事件在行业范围内的激增,因为运营治理失败成为攻击者的关注焦点。THORChain 于 5 月 15 日发生的 1000 万美元攻击,以及 Verus Protocol 的跨链桥被入侵,窃取了 1160 万美元。
5 月份的协议被攻击损失合计现已超过 1 亿美元,推动对智能合约部署进行标准化运营审计和多签治理模型的呼声。
安全专家建议采用定时锁合约、供应上限、多签角色,以及去中心化自治组织(DAO)框架,以降低单点故障风险。业界参与者在等待 Echo Protocol 的事后调查报告,以评估长期治理改进以及对受影响的流动性提供者和代币持有人的赔偿计划。
评论 (0)