Echo Protocol keskeyttää Monad Bridge -palvelun, kun hallinnointitunnuksen tietomurto aiheutti 816 000 dollarin tappiot

Likviditeetin rajoitukset estävät massiiviset tappiot

Bitcoin-likviditeettiin keskittynyt hajautetun rahoituksen (DeFi) alusta Echo Protocol joutui tietoturva-aukon kohteeksi maanantaina 18. toukokuuta, kun hyökkääjä sai haltuunsa hallinnointavaimun ja loi miljoonien dollarien arvosta luvattomia synteettisiä varoja.

Monad-lohkoketjuverkostossa sijaitsevassa Echo Protocolin ympäristössä tapahtuneessa tietomurrossa hakkeri loi aluksi 1 000 eBTC-tokenia, joiden arvioitu arvo oli 76,7 miljoonaa dollaria. Koska paikallisilla hajautetuilla lainamarkkinoilla ei kuitenkaan ollut riittävää likviditeettiä, jolla olisi voitu absorboida tai lunastaa valtava määrä väärennettyjä tokeneita, todelliset tappiot jäivät noin 816 000 dollariin.
Blockchain-turvallisuusyritysten Peckshieldin ja Lookonchainin raporttien mukaan hyökkääjä käytti vaarantunutta järjestelmänvalvojan pääsyä myöntääkseen omalle digitaaliselle lompakolleen oikeuden luoda tokeneita. Luotuaan 1 000 eBTC-tokenia hakkeri talletti 45 eBTC:tä hajautettuun lainausprotokollaan Curvanceen vakuudeksi.
Tämän vakuuden vastineeksi hyökkääjä lainasi onnistuneesti 11,29 WBTC:tä ja siirsi nämä varat sitten Ethereum-verkkoon, vaihtoi ne etheriksi (ETH) ja ohjasi noin 385 ETH:ta Tornado Cashiin.

Echo Protocol vahvisti tietoturvapoikkeaman virallisilla sosiaalisen median kanavillaan ja ilmoitti, että Monadin siirtoinfrastruktuuri oli väliaikaisesti keskeytetty estämään uusia luvattomia toimia.
"Tutkimuksemme mukaan ongelma johtui vaarantuneesta järjestelmänvalvojan avaimesta, joka vaikutti Monadin käyttöönottoon", Echo Protocol totesi lausunnossaan.

Kehittäjät totesivat, että hyökkäys johtui avainhallintaan liittyvästä toiminnallisesta ja pääsynvalvonnan epäonnistumisesta eikä niinkään itse älykkään sopimuksen koodin puutteesta. Protokollatiimi on sittemmin saanut hallinta-avaimen takaisin hallintaansa ja ryhtynyt rajoittamaan vahinkoja polttamalla jäljellä olevat 955 eBTC-tokenia, jotka olivat jääneet käyttämättöminä hyökkääjän lompakkoon.

Monad-lohkoketjun perustaja Keone Hon selvensi, että verkon ydininfrastruktuuri pysyi täysin turvattuna.

"Monad ei kärsinyt vahinkoa ja toimii edelleen normaalisti", Hon totesi ja lisäsi, että ongelma rajoittui tiukasti sovellukseen ja sen bridge-käyttöönottoon.

Curvance, lainausprotokolla, josta hakkeri siirsi varat, keskeytti myös varotoimenpiteenä kyseisen eBTC-markkinan toiminnan. Curvancen edustajat korostivat, että sen eristetty markkinarakenne esti onnistuneesti hyökkäyksen leviämisen muihin lainauspooliin, eikä heidän omien älykkäiden sopimustensa rikkomisesta ole merkkejä.

Alusta totesi, että sen käyttöönotto Aptos-verkossa ei ole muuttunut, sillä Aptosin aBTC ja Monadin eBTC toimivat täysin erillisinä ja yhteensopimattomina varoina.

Echo Protocol ilmoitti päivittävänsä Ethereum Virtual Machine -siltasopimuksiaan ja tiukentavansa käyttöoikeuksien hallintamekanismejaan tulevien laiminlyöntien estämiseksi. Tapaus on viimeisin sarjassa hallinnollisia ja infrastruktuuriin liittyviä hyökkäyksiä, jotka ovat vaikuttaneet hajautetun rahoituksen sektoriin tässä kuussa.