Le protocole Echo suspend le pont Monad après qu'une violation de la clé d'administration a entraîné une perte de 816 000 dollars

Les limites de liquidité empêchent des pertes massives

Echo Protocol, une plateforme de finance décentralisée (DeFi) axée sur la liquidité du bitcoin, a été victime d'une faille de sécurité le lundi 18 mai, après qu'un pirate a compromis une clé d'administration pour frapper des millions de dollars d'actifs synthétiques non autorisés. La faille, qui s'est produite sur le déploiement d'Echo Protocol au sein du réseau blockchain Monad, a initialement permis au pirate de frapper 1 000 jetons eBTC d'une valeur estimée à 76,7 millions de dollars. Cependant, comme les marchés de prêt décentralisés locaux ne disposaient pas de la liquidité suffisante pour absorber ou monnayer l'afflux massif de faux jetons, les pertes réelles se sont limitées à environ 816 000 dollars. Selon les rapports des sociétés de sécurité blockchain Peckshield et Lookonchain, le pirate a utilisé l'accès administratif compromis pour accorder à son propre portefeuille numérique des privilèges de création de jetons. Après avoir généré les 1 000 jetons eBTC, le pirate a déposé 45 eBTC dans le protocole de prêt décentralisé Curvance pour servir de garantie. Grâce à cette garantie, l'attaquant a réussi à emprunter 11,29 WBTC, puis a transféré ces actifs vers le réseau Ethereum, les a échangés contre de l'ether (ETH) et a transféré environ 385 ETH vers Tornado Cash.

Echo Protocol a confirmé l'incident de sécurité via ses réseaux sociaux officiels, indiquant que l'infrastructure de pont sur Monad avait été temporairement suspendue afin d'empêcher toute nouvelle activité non autorisée. « Notre enquête indique que le problème provenait d'une clé d'administration compromise affectant le déploiement de Monad », a déclaré Echo Protocol dans un communiqué.

Les développeurs ont noté que l'exploitation résultait d'une défaillance opérationnelle et de contrôle d'accès concernant la gestion des clés, plutôt que d'une faille dans le code du contrat intelligent sous-jacent lui-même. L'équipe du protocole a depuis repris le contrôle de la clé d'administration et s'est employée à limiter les dégâts en brûlant les 955 jetons eBTC restants qui étaient restés inutilisables dans le portefeuille de l'attaquant.

Keone Hon, cofondateur de la blockchain Monad, a précisé que l'infrastructure centrale du réseau restait entièrement sécurisée. « Monad n'a pas été affecté et continue de fonctionner normalement », a déclaré M. Hon, ajoutant que le problème était strictement limité à l'application et à son déploiement de pont.

Curvance, le protocole de prêt à partir duquel le pirate a extrait les fonds, a également suspendu le marché eBTC concerné par mesure de précaution. Les représentants de Curvance ont souligné que l’architecture isolée de son marché avait réussi à empêcher l’exploitation de se propager à d’autres pools de prêt, ne signalant aucun signe de violation de ses propres contrats intelligents.

La plateforme a noté que son déploiement sur le réseau Aptos n'était pas affecté, car l'aBTC sur Aptos et l'eBTC sur Monad fonctionnent comme des actifs totalement distincts et non interopérables. Echo Protocol a déclaré qu'il mettait à niveau ses contrats de pont Ethereum Virtual Machine et renforçait ses mécanismes de contrôle des autorisations afin d'éviter de futures défaillances. Cet incident est le dernier d'une série d'exploits administratifs et liés à l'infrastructure qui ont touché le secteur de la finance décentralisée ce mois-ci.