پروتکل Echo پس از نفوذ به کلید مدیریتی که باعث زیان ۸۱۶ هزار دلاری شد، پل Monad را متوقف کرد

محدودیت‌های نقدینگی از زیان‌های عظیم جلوگیری کرد

Echo Protocol، یک پلتفرم مالی غیرمتمرکز (DeFi) متمرکز بر نقدینگی بیت‌کوین، روز دوشنبه ۱۸ مه پس از آن‌که یک مهاجم با به‌خطرانداختن یک کلید مدیریتی توانست میلیون‌ها دلار دارایی مصنوعی غیرمجاز ضرب کند، هدف یک سوءاستفاده امنیتی قرار گرفت.

این رخداد که در استقرار Echo Protocol در شبکه بلاک‌چینی Monad اتفاق افتاد، در ابتدا باعث شد هکر ۱,۰۰۰ توکن eBTC با ارزش تخمینی ۷۶.۷ میلیون دلار ضرب کند. با این حال، چون بازارهای وام‌دهی غیرمتمرکز محلی نقدینگی عمیق کافی برای جذب یا نقدکردن این حجم عظیم توکن‌های جعلی را نداشتند، زیان‌های تحقق‌یافته واقعی به حدود ۸۱۶ هزار دلار محدود شد.

بر اساس گزارش‌های شرکت‌های امنیت بلاک‌چین Peckshield و Lookonchain، مهاجم از دسترسی مدیریتیِ به‌خطر افتاده برای اعطای اختیار ضرب به کیف پول دیجیتال خود استفاده کرد. پس از ایجاد ۱,۰۰۰ توکن eBTC، هکر ۴۵ eBTC را به‌عنوان وثیقه در پروتکل وام‌دهی غیرمتمرکز Curvance سپرده‌گذاری کرد.

مهاجم در برابر آن وثیقه، موفق شد ۱۱.۲۹ WBTC وام بگیرد و سپس آن دارایی‌ها را به شبکه اتریوم بریج کند، آن‌ها را با اتر (ETH) مبادله کند و حدود ۳۸۵ ETH را به Tornado Cash منتقل کند.

Echo Protocol رخداد امنیتی را از طریق کانال‌های رسمی شبکه‌های اجتماعی خود تأیید کرد و اعلام کرد که زیرساخت بریج روی Monad به‌طور موقت تعلیق شده است تا از فعالیت غیرمجاز بیشتر جلوگیری شود.

Echo Protocol در یک بیانیه گفت: «بررسی ما نشان می‌دهد منشأ مشکل، یک کلید ادمین به‌خطر افتاده بوده که استقرار روی Monad را تحت تأثیر قرار داده است.»

توسعه‌دهندگان اشاره کردند که این سوءاستفاده ناشی از یک شکست عملیاتی و کنترل دسترسی در مدیریت کلیدها بوده است، نه یک نقص در خود کد قرارداد هوشمند زیربنایی. تیم پروتکل از آن زمان کنترل کلید مدیریتی را دوباره به دست آورده و برای مهار آسیب اقدام کرده است؛ از جمله با سوزاندن ۹۵۵ توکن eBTC باقیمانده که در کیف پول مهاجم بلااستفاده مانده بود.

Keone Hon، هم‌بنیان‌گذار بلاک‌چین Monad، توضیح داد که زیرساخت اصلی شبکه کاملاً امن باقی مانده است.

Hon اظهار کرد: «Monad تحت تأثیر قرار نگرفت و همچنان به‌طور عادی فعالیت می‌کند.» او افزود که مشکل صرفاً به اپلیکیشن و استقرار بریج آن محدود بوده است.

Curvance، پروتکل وام‌دهی‌ای که هکر از آن وجوه را خارج کرد، نیز به‌عنوان یک اقدام احتیاطی، بازار eBTC آسیب‌دیده را متوقف کرد. نمایندگان Curvance تأکید کردند که معماری بازارهای ایزوله این پروتکل با موفقیت مانع از سرایت سوءاستفاده به سایر استخرهای وام‌دهی شده است و گزارش دادند هیچ نشانه‌ای مبنی بر نقض قراردادهای هوشمند خود مشاهده نشده است.

این پلتفرم خاطرنشان کرد که استقرار آن روی شبکه Aptos بدون تأثیر باقی مانده است، زیرا aBTC روی Aptos و eBTC روی Monad دارایی‌هایی کاملاً جدا و غیرقابل تعامل با یکدیگر هستند.

Echo Protocol اعلام کرد که در حال ارتقای قراردادهای بریج ماشین مجازی اتریوم (EVM) و سخت‌گیرانه‌تر کردن سازوکارهای کنترل مجوزهاست تا از رخدادهای مشابه در آینده جلوگیری کند. این حادثه تازه‌ترین مورد از سلسله سوءاستفاده‌های مرتبط با مدیریت و زیرساخت است که این ماه بخش مالی غیرمتمرکز را تحت تأثیر قرار داده‌اند.