Echo Protocols 漏洞利用鑄造未經授權的 eBTCs，價值 7,670 萬美元

去中心化金融協議 Echo Protocol 在攻擊者取得管理員私鑰並在 Monad 區塊鏈鑄造約 1,000 枚 eBTC 代幣後遭遇重大安全事件。區塊鏈分析公司 PeckShield 與鏈上監控服務 Lookonchain 均於 5 月 19 日發現詐取行為，鑄造的合成比特幣代幣名義價值約為 7,670 萬美元。調查細節顯示此漏洞源於營運配置錯誤，而非智慧合約程式碼漏洞。單一簽名的管理員職務、缺乏多簽治理模組，以及缺乏供應上限，使得攻擊者能在不觸發任何內部供應合理性檢查的情況下調用鑄造函數。協議的定時鎖和速率限制機制未被啟動，允許即時未授權的代幣創造。鑄造完成後，攻擊者嘗試透過將 45 枚 eBTC 存入 Curvance 借貸與流動性管理協議來洗錢部分所得。攻擊者對該存款借出 11.3 枚包裝比特幣（wBTC），將資金跨鏈至以太坊並將代幣兌換為 384 ETH。使用 Tornado Cash 作為混幣服務，通過該服務轉移價值約 82 萬美元的 ETH。區塊鏈取證數據顯示攻擊者地址中仍持有 955 枚 eBTC，價值約 7,300 萬美元，直到 Echo Protocol 收回被入侵的管理私鑰為止。協議管理人員隨後燒毀 955 枚 eBTC，將大部分未授權的供應中和。協議團隊聲明表示跨鏈交易暫停，待治理與運營控制的全面審計完成。Monad 網路共同創始人 Keone Hon 證實底層第一層區塊鏈未受影響，並維持正常運作。Curvance 為降低風險並防止二次攻擊，暫停了相關的 eBTC 市場。這起事件凸顯 2026 年 DeFi 協議遭駭的行業性高漲，因營運治理失誤成為攻擊者的焦點。著名案例包括 THORChain 於 5 月 15 日發生的 1,000 萬美元漏洞，以及 Verus Protocol 跨鏈橋駭客事件，造成 1,160 萬美元損失。五月份協議駭客事件的損失總額現已超過 1 億美元，促使人們呼籲在智能合約部署中採取標準化營運審計與多簽治理模型。安全專家建議採用定時鎖合約、供應上限、多簽角色，以及去中心化自治組織（DAO）框架，以降低單點故障風險。業界參與者正等待 Echo Protocol 的事後檢討報告，以評估長期治理改進與對受影響的流動性提供者與代幣持有人的補救計畫。