El protocolo Echo suspende el puente Monad tras una filtración de la clave de administrador que ha provocado pérdidas por valor de 816 000 dólares

Los límites de liquidez evitan pérdidas masivas

Echo Protocol, una plataforma de finanzas descentralizadas (DeFi) centrada en la liquidez de bitcoin, sufrió un ataque de seguridad el lunes 18 de mayo, después de que un atacante comprometiera una clave administrativa para acuñar millones de dólares en activos sintéticos no autorizados. La brecha, que se produjo en la implementación de Echo Protocol dentro de la red blockchain de Monad, supuso inicialmente que el hacker acuñara 1000 tokens eBTC con un valor estimado de 76,7 millones de dólares. Sin embargo, dado que los mercados de préstamos descentralizados locales carecían de la liquidez necesaria para absorber o liquidar la afluencia masiva de tokens falsos, las pérdidas reales se limitaron a aproximadamente 816 000 dólares. Según informes de las empresas de seguridad de blockchain Peckshield y Lookonchain, el atacante utilizó el acceso administrativo comprometido para otorgar privilegios de acuñación a su propia cartera digital. Tras generar los 1.000 tokens eBTC, el hacker depositó 45 eBTC en el protocolo de préstamos descentralizado Curvance para que sirvieran como garantía. Con esa garantía, el atacante consiguió pedir prestados 11,29 WBTC y, a continuación, transfirió esos activos a la red Ethereum, los canjeó por ether (ETH) y canalizó aproximadamente 385 ETH hacia Tornado Cash.

Echo Protocol confirmó el incidente de seguridad a través de sus canales oficiales en redes sociales, indicando que la infraestructura del puente en Monad se había suspendido temporalmente para evitar más actividades no autorizadas. «Nuestra investigación indica que el problema se originó a partir de una clave de administrador comprometida que afectaba a la implementación de Monad», afirmó Echo Protocol en un comunicado.

Los desarrolladores señalaron que la vulnerabilidad se debió a un fallo operativo y de control de acceso relacionado con la gestión de claves, más que a un defecto en el propio código del contrato inteligente subyacente. Desde entonces, el equipo del protocolo ha recuperado el control de la clave administrativa y ha tomado medidas para contener el daño quemando los 955 tokens eBTC restantes que habían quedado inutilizables en la cartera del atacante.

Keone Hon, cofundador de la cadena de bloques Monad, aclaró que la infraestructura central de la red seguía estando totalmente segura. «Monad no se vio afectada y sigue funcionando con normalidad», declaró Hon, añadiendo que el problema se limitaba estrictamente a la aplicación y a su implementación del puente.

Curvance, el protocolo de préstamos del que el hacker extrajo los fondos, también suspendió el mercado de eBTC afectado como medida de precaución. Los representantes de Curvance hicieron hincapié en que su arquitectura de mercado aislada impidió con éxito que la vulnerabilidad se extendiera a otros fondos de préstamos, y no informaron de ningún indicio de que sus propios contratos inteligentes hubieran sido vulnerados.

La plataforma señaló que su implementación en la red Aptos no se ha visto afectada, ya que el aBTC en Aptos y el eBTC en Monad funcionan como activos totalmente separados y no interoperables. Echo Protocol declaró que está actualizando sus contratos de puente de la Máquina Virtual Ethereum y reforzando sus mecanismos de control de permisos para evitar fallos futuros. El incidente es el último de una serie de vulnerabilidades administrativas y relacionadas con la infraestructura que han afectado al sector de las finanzas descentralizadas este mes.