Протокол Echo Protocol на блокчейні Monad зазнав атаки: зловмисник емітував близько 1 000 неавторизованих eBTC на суму приблизно $76,7 млн. Про інцидент повідомила компанія з безпеки блокчейну PeckShield.
«Ми розслідуємо інцидент безпеки, який торкнувся Echo bridge Monad. Усі міжмережові транзакції призупинені до завершення розслідування», – заявив Echo Protocol.
За даними розробника блокчейна, відомого під псевдонімом Marioo, причиною злому стала не вразливість смарт-контракту, а компрометація ключа адміністратора. Корінь проблеми – «операційний, а не технічний». Контракт eBTC «працював саме так, як був спроектований»: уразливість полягала в наявності єдиного підпису для ролі адміністратора, відсутності затримки перед виконанням операції (таймлоку), відсутності обмеження на обсяг емісії та швидкість випуску монет, а також відсутності перевірки обсягу пропозиції з боку Curvance для тільки що.
Echo Protocol – це DeFi-платформа, орієнтована на агрегацію ліквідності біткоїну, ліквідний стейкінг, рестейкінг та генерацію доходу. Протокол створює уніфіковані ліквідні BTC-активи, зокрема eBTC, для використання в DeFi. Він розгорнутий на Monad, високопродуктивному EVM-сумісному блокчейні першого рівня.
За даними PeckShield, атакуючий спробував відмити частину викрадених активів: 45 eBTC на суму близько $3,45 млн були депоновані в DeFi-протокол Curvance. Під це забезпечення було взято 11,3 wrapped Bitcoin (wBTC) на $868,000, токени переведені в мережу Ethereum, конвертовані в Ethereum, а 384 ETH вартістю близько $822,000 відправлені через міксер Tornado Cash. За даними DeBank, зловмисник, як і раніше, утримує 955 eBTC на суму близько $73 млн — тобто близько 95% викраденого.
Curvance підтвердив, що виявив “аномалію” на ринку Echo eBTC, причому власні смарт-контракти протоколу скомпрометовані не були. Торкнувся ринок було припинено для розслідування. Співзасновник Monad Кіоне Хон (Keone Hon) уточнив у соцмережі X, що мережа Monad не постраждала і працює у штатному режимі.
Злом Echo Protocol стався в контексті наростаючої хвилі атак на DeFi-протоколи. Лише цього місяця було скомпрометовано щонайменше 12 протоколів, у тому числі THORChain, міст Verus Protocol у мережі Ethereum, Transit Finance, TrustedVolumes та Ekubo.
Серед найбільших інцидентів цього року — експлойт Drift Protocol із втратою $285 млн та злом KelpDAO на $292 млн у квітні.
Випадок Echo Protocol наочно демонструє, що навіть технічно коректний код не гарантує безпеки, якщо операційні процедури – управління ключами, розмежування прав та моніторинг – залишаються вразливими. Відсутність базових захисних механізмів, таких як таймлок та обмеження емісії, перетворила адміністративний ключ на єдину точку відмови всієї системи.