Protokół Echo Monada stracił 76 mln dolarów w wyniku exploita przy mintowaniu eBTC

Krypto właśnie odnotowało trzeci poważny hack w ciągu czterech dni. Echo Protocol na blockchainie Monad doznało krytycznego naruszenia bezpieczeństwa 19 maja 2026 roku, po tym jak atakujący przejął klucz prywatny administratora kontraktu eBTC. 

Korzystając z tego dostępu, haker wybił z powietrza 1 000 eBTC o wartości około 76,64 miliona dolarów. Incydent następuje po exploicie THORChain na 10,7 miliona dolarów 15 maja oraz po opróżnieniu mostu Verus-Ethereum na 11,5 miliona dolarów 18 maja. Dzisiejsze wiadomości kryptowalutowe ujawniają niepokojący wzorzec, a Echo Protocol jest jego najnowszą ofiarą.

Jak przebiegał atak

Główna przyczyna była przerażająco prosta. Rola administratora kontraktu eBTC była kontrolowana przez jeden klucz prywatny bez ochrony multisig i bez timelocka. Gdy atakujący przejął ten klucz, wszystko potoczyło się szybko.

Atakujący najpierw zdobył DEFAULT_ADMIN_ROLE. Następnie unieważnił pierwotnego administratora i przyznał sobie MINTER_ROLE. Mając zabezpieczone uprawnienia do bicia, stworzył 1 000 eBTC za pomijalną opłatę gas wynoszącą około 0,0003 dolara. To 76,64 miliona dolarów wybitych za ułamek centa.

Atakujący działał szybko. Zdeponował 45 eBTC o wartości około 3,45 miliona dolarów w Curvance, protokole pożyczkowym działającym na Monad. Używając tego zabezpieczenia, pożyczył 11,3 WBTC o wartości około 867 000 dolarów. Przerzucił WBTC na Ethereum, zamienił na około 385 ETH i zdeponował te środki w Tornado Cash, aby wyprać przychody. Atakujący nadal posiada w swoim portfelu 955 eBTC o wartości około 73,2 miliona dolarów. Jednak te tokeny są niezabezpieczonymi aktywami syntetycznymi bez żadnego realnego zabezpieczenia w BTC.

Dwa protokoły zawiodły jednocześnie

Wiadomości z Monad dotyczące tego incydentu wyjaśniają jeden ważny punkt. Sam łańcuch Monad nie został naruszony. Był to błąd operacyjny na poziomie protokołu, a nie podatność na poziomie łańcucha.

Zbiegły się dwa błędy bezpieczeństwa. Po pierwsze, kontrola administratora za pomocą pojedynczego klucza w Echo Protocol nie miała multisig, timelocka, limitu bicia ani limitów szybkości. Po drugie, Curvance przyjął świeżo wybite syntetyczne eBTC jako zabezpieczenie bez żadnej weryfikacji pochodzenia ani weryfikacji podaży. Ta luka w komponowalności pozwoliła atakującemu wydobyć realną wartość, zanim ktokolwiek mógł interweniować.

Curvance pozostało teraz z nieściągalnymi długami z niedostatecznie zabezpieczonej pozycji. Dostawcy płynności WBTC ponoszą główną stratę finansową z pożyczonych środków. Echo Protocol publicznie potwierdziło incydent i zawiesiło wszystkie transakcje cross-chain, podczas gdy dochodzenie trwa.

Co to oznacza dla inwestorów i deweloperów

Dla inwestorów trzy exploity o łącznej wartości ponad 98 milionów dolarów w ciągu czterech dni wymagają uwagi. Środowisko bezpieczeństwa DeFi w maju 2026 roku jest wyjątkowo niebezpieczne. Każdy atak ujawnił inną podatność. Błąd implementacji TSS w THORChain, luka w walidacji źródło-kwota w Verus i przejęcie administratora przez jeden klucz w Echo Protocol.

Dla deweloperów hack Echo Protocol dostarcza trzech niezbywalnych lekcji. Role administratora na mintowanych aktywach muszą wymagać multisig. Timelocki muszą chronić krytyczne funkcje uprzywilejowane. Protokoły pożyczkowe muszą weryfikować pochodzenie zabezpieczeń i sprawdzać integralność podaży przed przyjęciem aktywów syntetycznych.

Wiadomości o Tornado Cash w związku z tym incydentem dodają znajomy wymiar. Narzędzie do prania pieniędzy nadal służy jako preferowana droga ucieczki dla atakujących DeFi, mimo trwającej presji regulacyjnej. Branża posiada techniczną wiedzę, aby zapobiec każdemu z tych ataków. Pytanie brzmi, czy protokoły wdrożą ją, zanim uderzy kolejny exploit.

Wpis Monad's Echo Protocol Drained for $76M in eBTC Minting Exploit pojawił się najpierw na Coinfomania.