Протокол Echo призупинив роботу мосту Monad після того, як витік адміністративного ключа спричинив збитки на суму 816 тис. доларів

Обмеження ліквідності запобігають великим збиткам

Echo Protocol, платформа децентралізованих фінансів (DeFi), орієнтована на ліквідність біткойнів, зазнала атаки на безпеку в понеділок, 18 травня, після того, як зловмисник отримав доступ до адміністративного ключа для випуску мільйонів доларів несанкціонованих синтетичних активів.

В результаті злом, який стався на розгортанні Echo Protocol у мережі блокчейну Monad, спочатку призвів до випуску хакером 1 000 токенів eBTC з оціночною вартістю 76,7 млн доларів. Однак, оскільки локалізовані децентралізовані кредитні ринки не мали достатньої ліквідності, необхідної для поглинання або обміну величезного припливу фальшивих токенів, фактичні реалізовані збитки обмежилися приблизно 816 000 доларів.

Згідно з повідомленнями компаній з безпеки блокчейнів Peckshield та Lookonchain, зловмисник використав отриманий адміністративний доступ, щоб надати своєму цифровому гаманцю права на випуск токенів. Після генерації 1 000 токенів eBTC хакер вніс 45 eBTC у децентралізований протокол кредитування Curvance в якості застави.

Під цю заставу зловмисник успішно позичив 11,29 WBTC, а потім переніс ці активи в мережу Ethereum, обміняв їх на ефір (ETH) і перевів приблизно 385 ETH у Tornado Cash.

Echo Protocol підтвердив інцидент безпеки через свої офіційні канали в соціальних мережах, заявивши, що інфраструктура мосту на Monad була тимчасово призупинена, щоб запобігти подальшій несанкціонованій діяльності.
«Наше розслідування вказує на те, що проблема виникла через скомпрометований адміністративний ключ, що вплинув на розгортання Monad», — йдеться у заяві Echo Protocol.

Розробники зазначили, що експлойт був пов'язаний із збою в роботі та контролі доступу щодо управління ключами, а не з недоліком у самому коді смарт-контракту. З того часу команда протоколу відновила контроль над адміністративним ключем і вжила заходів для мінімізації збитків, спаливши решту 955 токенів eBTC, які залишилися непридатними для використання у гаманці зловмисника.

Кеоне Хон, співзасновник блокчейну Monad, пояснив, що основна інфраструктура мережі залишилася цілком безпечною.

«Monad не постраждав і продовжує працювати в звичайному режимі», — заявив Хон, додавши, що проблема була суто локалізована в додатку та його розгортанні через міст.

Curvance, протокол кредитування, з якого хакер вивів кошти, також призупинив роботу ураженого ринку eBTC як запобіжний захід. Представники Curvance підкреслили, що ізольована архітектура ринку успішно запобігла поширенню уразливості на інші кредитні пули, і повідомили, що немає ознак порушення їхніх власних смарт-контрактів.

Платформа зазначила, що її розгортання в мережі Aptos не зазнало змін, оскільки aBTC на Aptos та eBTC на Monad функціонують як повністю окремі та несумісні активи.

Echo Protocol заявило, що оновлює свої контракти-містки Ethereum Virtual Machine та посилює механізми контролю доступу, щоб запобігти подібним інцидентам у майбутньому. Цей інцидент є останнім у низці адміністративних та інфраструктурних зловживань, що вплинули на сектор децентралізованих фінансів цього місяця.