Echo Protocol sætter Monad Bridge på pause efter et brud på en administratornøgle, der har medført et tab på 816.000 dollar

Likviditetsbegrænsninger forhindrer massive tab

Echo Protocol, en decentraliseret finansplatform (DeFi) med fokus på bitcoin-likviditet, blev ramt af et sikkerhedsangreb mandag den 18. maj, efter at en hacker havde kompromitteret en administratørnøgle for at udstede millioner af dollars i uautoriserede syntetiske aktiver.

I forbindelse med bruddet, der fandt sted på Echo Protocols implementering inden for Monad-blockchain-netværket, udstedte hackeren oprindeligt 1.000 eBTC-tokens med en anslået værdi på 76,7 millioner dollars. Da de lokale decentraliserede lånemarkeder imidlertid manglede den dybe likviditet, der var nødvendig for at absorbere eller indløse den massive tilstrømning af falske tokens, blev de faktiske realiserede tab begrænset til ca. 816.000 dollars.

Ifølge rapporter fra blockchain-sikkerhedsfirmaerne Peckshield og Lookonchain udnyttede angriberen den kompromitterede administrative adgang til at tildele sin egen digitale tegnebog privilegier til at skabe nye tokens. Efter at have genereret de 1.000 eBTC-tokens indsatte hackeren 45 eBTC i det decentraliserede udlånsprotokol Curvance som sikkerhed.

Mod denne sikkerhed lånte angriberen med succes 11,29 WBTC og overførte derefter disse aktiver til Ethereum-netværket, byttede dem til ether (ETH) og kanaliserede ca. 385 ETH ind i Tornado Cash.

Echo Protocol bekræftede sikkerhedshændelsen via sine officielle sociale mediekanaler og oplyste, at broinfrastrukturen på Monad var blevet midlertidigt suspenderet for at forhindre yderligere uautoriseret aktivitet.
"Vores undersøgelse tyder på, at problemet stammede fra en kompromitteret admin-nøgle, der påvirkede Monad-implementeringen," sagde Echo Protocol i en erklæring.

Udviklerne bemærkede, at udnyttelsen skyldtes en drifts- og adgangskontrolfejl vedrørende nøgleadministration snarere end en fejl i selve den underliggende smart contract-kode. Protokolteamet har siden genvundet kontrollen over den administrative nøgle og har taget skridt til at begrænse skaden ved at brænde de resterende 955 eBTC-tokens, der lå ubrugelige i angriberens tegnebog.

Keone Hon, medstifter af Monad-blockchain, præciserede, at netværkets kerneinfrastruktur forblev fuldstændig sikker.

"Monad blev ikke påvirket og fungerer fortsat normalt," udtalte Hon og tilføjede, at problemet var strengt isoleret til applikationen og dens bridge-implementering.

Curvance, det udlånsprotokol, hvor hackeren udtræk midlerne, satte også det berørte eBTC-marked på pause som en sikkerhedsforanstaltning. Repræsentanter for Curvance understregede, at dets isolerede markedsarkitektur med succes forhindrede udnyttelsen i at sprede sig til andre udlånspuljer, og rapporterede ingen tegn på, at dets egne smarte kontrakter var blevet brudt.

Platformen bemærkede, at dens implementering på Aptos-netværket forbliver upåvirket, da aBTC på Aptos og eBTC på Monad fungerer som helt separate og ikke-interoperable aktiver.

Echo Protocol oplyste, at det opgraderer sine Ethereum Virtual Machine-brokontrakter og strammer sine tilladelseskontrolmekanismer for at forhindre fremtidige fejl. Hændelsen er den seneste i en række administrative og infrastrukturrelaterede udnyttelser, der har påvirket den decentraliserede finanssektor i denne måned.