Il protocollo Echo sospende il Monad Bridge dopo che una violazione della chiave amministrativa ha causato una perdita di 816.000 dollari

I limiti di liquidità impediscono perdite ingenti

Echo Protocol, una piattaforma di finanza decentralizzata (DeFi) incentrata sulla liquidità di bitcoin, è stata colpita da un exploit di sicurezza lunedì 18 maggio, dopo che un hacker ha compromesso una chiave amministrativa per coniare milioni di dollari in asset sintetici non autorizzati. La violazione, avvenuta sull'implementazione di Echo Protocol all'interno della rete blockchain Monad, ha inizialmente visto l'hacker coniare 1.000 token eBTC con un valore stimato di 76,7 milioni di dollari. Tuttavia, poiché i mercati di prestito decentralizzati locali non disponevano della profonda liquidità necessaria per assorbire o incassare il massiccio afflusso di token falsi, le perdite effettive realizzate sono state limitate a circa 816.000 dollari. Secondo i rapporti delle società di sicurezza blockchain Peckshield e Lookonchain, l'autore dell'attacco ha utilizzato l'accesso amministrativo compromesso per concedere al proprio portafoglio digitale i privilegi di emissione. Dopo aver generato i 1.000 token eBTC, l'hacker ha depositato 45 eBTC nel protocollo di prestito decentralizzato Curvance a titolo di garanzia. A fronte di tale garanzia, l'autore dell'attacco è riuscito a prendere in prestito 11,29 WBTC, per poi trasferire tali asset sulla rete Ethereum, scambiarli con ether (ETH) e convogliare circa 385 ETH su Tornado Cash.

Echo Protocol ha confermato l'incidente di sicurezza tramite i propri canali social ufficiali, affermando che l'infrastruttura di bridge su Monad era stata temporaneamente sospesa per impedire ulteriori attività non autorizzate. "La nostra indagine indica che il problema ha avuto origine da una chiave amministrativa compromessa che ha influito sull'implementazione di Monad", ha dichiarato Echo Protocol in un comunicato.

Gli sviluppatori hanno osservato che l'exploit derivava da un errore operativo e di controllo degli accessi relativo alla gestione delle chiavi, piuttosto che da una falla nel codice dello smart contract sottostante stesso. Il team del protocollo ha da allora ripreso il controllo della chiave amministrativa e ha provveduto a contenere il danno bruciando i restanti 955 token eBTC che erano rimasti inutilizzabili nel portafoglio dell'autore dell'attacco.

Keone Hon, co-fondatore della blockchain Monad, ha chiarito che l'infrastruttura di base della rete è rimasta completamente sicura. "Monad non è stata colpita e continua a funzionare normalmente", ha dichiarato Hon, aggiungendo che il problema era strettamente limitato all'applicazione e alla sua implementazione del bridge.

Curvance, il protocollo di prestito da cui l'hacker ha prelevato i fondi, ha inoltre sospeso il mercato eBTC interessato come misura precauzionale. I rappresentanti di Curvance hanno sottolineato che la sua architettura di mercato isolata ha impedito con successo che l'exploit si estendesse ad altri pool di prestito, segnalando l'assenza di segni di violazione dei propri smart contract.

La piattaforma ha osservato che la sua implementazione sulla rete Aptos rimane inalterata, poiché l'aBTC su Aptos e l'eBTC su Monad operano come asset completamente separati e non interoperabili. Echo Protocol ha dichiarato che sta aggiornando i contratti del bridge della Ethereum Virtual Machine e rafforzando i meccanismi di controllo delle autorizzazioni per prevenire future falle. L'incidente è l'ultimo di una serie di exploit amministrativi e relativi all'infrastruttura che hanno colpito il settore della finanza decentralizzata questo mese.