Echo Protocol legt Monad Bridge auf Eis, nachdem ein Hackerangriff auf den Admin-Schlüssel einen Verlust von 816.000 Dollar verursacht hat

Liquiditätsgrenzen verhindern massive Verluste

Echo Protocol, eine auf Bitcoin-Liquidität ausgerichtete DeFi-Plattform (Decentralized Finance), wurde am Montag, dem 18. Mai, von einem Sicherheitsangriff getroffen, nachdem ein Angreifer einen Administrationsschlüssel kompromittiert hatte, um synthetische Vermögenswerte im Wert von mehreren Millionen Dollar ohne Genehmigung zu prägen. Bei dem Angriff, der auf die Implementierung von Echo Protocol innerhalb des Monad-Blockchain-Netzwerks abzielte, prägte der Hacker zunächst 1.000 eBTC-Token mit einem geschätzten Wert von 76,7 Millionen US-Dollar. Da es den lokalen dezentralen Kreditmärkten jedoch an der erforderlichen tiefen Liquidität fehlte, um den massiven Zustrom gefälschter Token aufzufangen oder auszuzahlen, beschränkten sich die tatsächlich realisierten Verluste auf etwa 816.000 US-Dollar. Berichten der Blockchain-Sicherheitsfirmen Peckshield und Lookonchain zufolge nutzte der Angreifer den kompromittierten Administratorzugang, um seiner eigenen digitalen Wallet Privilegien zur Prägung von Token zu gewähren. Nach der Generierung der 1.000 eBTC-Token hinterlegte der Hacker 45 eBTC im dezentralen Kreditprotokoll Curvance als Sicherheit. Gegen diese Sicherheit nahm der Angreifer erfolgreich 11,29 WBTC auf, übertrug diese Vermögenswerte dann in das Ethereum-Netzwerk, tauschte sie gegen Ether (ETH) ein und leitete etwa 385 ETH an Tornado Cash weiter.

Echo Protocol bestätigte den Sicherheitsvorfall über seine offiziellen Social-Media-Kanäle und erklärte, dass die Bridge-Infrastruktur auf Monad vorübergehend ausgesetzt worden sei, um weitere unbefugte Aktivitäten zu verhindern. „Unsere Untersuchung deutet darauf hin, dass das Problem auf einen kompromittierten Admin-Schlüssel zurückzuführen ist, der die Monad-Bereitstellung beeinträchtigt hat“, erklärte Echo Protocol in einer Stellungnahme.

Die Entwickler stellten fest, dass der Exploit auf einen Betriebs- und Zugriffskontrollfehler im Zusammenhang mit der Schlüsselverwaltung zurückzuführen war und nicht auf eine Schwachstelle im zugrunde liegenden Smart-Contract-Code selbst. Das Protokollteam hat inzwischen die Kontrolle über den Administrationsschlüssel zurückgewonnen und Maßnahmen ergriffen, um den Schaden zu begrenzen, indem es die verbleibenden 955 eBTC-Token verbrannt hat, die ungenutzt in der Wallet des Angreifers verblieben waren.

Keone Hon, Mitbegründer der Monad-Blockchain, stellte klar, dass die Kerninfrastruktur des Netzwerks vollständig sicher geblieben sei. „Monad war nicht betroffen und läuft weiterhin normal“, erklärte Hon und fügte hinzu, dass das Problem streng auf die Anwendung und deren Bridge-Bereitstellung beschränkt sei.

Curvance, das Kreditprotokoll, aus dem der Hacker die Gelder entnommen hatte, setzte den betroffenen eBTC-Markt ebenfalls vorsorglich aus. Vertreter von Curvance betonten, dass die isolierte Marktarchitektur erfolgreich verhindert habe, dass der Exploit auf andere Kreditpools übergreife, und berichteten, dass es keine Anzeichen dafür gebe, dass die eigenen Smart Contracts kompromittiert worden seien.

Die Plattform wies darauf hin, dass ihr Einsatz im Aptos-Netzwerk unberührt bleibt, da aBTC auf Aptos und eBTC auf Monad als völlig getrennte und nicht miteinander kompatible Vermögenswerte fungieren. Echo Protocol erklärte, dass es seine Ethereum-Virtual-Machine-Bridge-Verträge aktualisiert und seine Mechanismen zur Zugriffskontrolle verschärft, um künftige Sicherheitslücken zu verhindern. Der Vorfall ist der jüngste in einer Reihe von administrativen und infrastrukturbezogenen Sicherheitslücken, die den dezentralen Finanzsektor in diesem Monat getroffen haben.