专注于比特币的 DeFi 平台 Echo Protocol 遭到攻击,攻击者在该协议的 Monad 部署上铸造了大约 1,000 个未经授权的 eBTC 代币。
- 攻击者在 Monad 上铸造了约 7,670 万美元未经授权的 eBTC 后,Echo Protocol 暂停了跨链交易。
- 链上调查人员表示,攻击者在 Curvance 上使用假 eBTC 作为抵押品,借入真正的比特币支持的资产,然后通过 Tornado Cash 转移资金。
- 安全研究人员将此事件与受损的管理员私钥联系起来,而 Monad 和 Curvance 表示,他们的核心网络和智能合约并未遭到破坏。
区块链安全公司 PeckShield 和链上分析平台 Lookonchain 周二报告称,攻击者生成了与 Echo 的 eBTC 资产相关的价值约 7670 万美元的合成比特币代币。
多名研究人员分享的早期发现表明,该漏洞并不是由 Monad 本身的缺陷引起的,而是由与 Echo 基础设施相关的管理访问权限受到损害引起的。
未经授权的铸币后不久,攻击者将部分资金转移到去中心化借贷市场。 Onchain Lens 分享的数据显示,45 个 eBTC 被存入借贷协议 Curvance 作为抵押品,允许利用者借入约 11.29 个包装比特币,当时价值近 868,000 美元。
据链上调查人员称,在确保借入资产安全后,攻击者将 WBTC 桥接至以太坊,将代币兑换成 ETH,随后通过 Tornado Cash 转出 385 ETH。 PeckShield 单独估计,价值约 822,000 美元的 384 ETH 已转移至加密货币混合服务。大多数未经授权的供应仍未受到影响。 Lookonchain 和 DeBank 数据显示,攻击者仍然控制着约 955 个 eBTC,价值超过 7300 万美元。
根据 DefiPrime 创始人 Nick Sawinyh 声明,剩余的代币似乎陷入困境,因为 Monad 目前的贷款和去中心化交易所流动性无法吸收如此规模的退出。
“对于任何在新推出的链上使用新推出的借贷市场的人来说,实际的收获是狭窄的:在提供实际资产之前,看看可借抵押品实际上是什么,谁可以铸造它,以及是否有什么阻止他们铸造更多。如果你的贷方不能告诉你哪些密钥可以产生该抵押品,你也不能,”Sawinyh 补充道。
怀疑管理密钥泄露
虽然 Echo Protocol 最初仅确认正在调查“影响 Monad 上 Echo 桥的安全事件”,但区块链开发人员 Marioo 后来表示,该问题源于管理员私钥泄露,而不是智能合约故障。
据 Marioo 称,eBTC 合约本身按预期运行,但一些操作缺陷导致攻击升级。研究人员指出,使用单签名管理角色、缺乏时间锁机制、没有铸币上限或发行率限制,以及对新铸成的 eBTC 的 Curvance 缺乏抵押品验证检查。
Curvance 不久后承认了这一事件,并表示作为预防措施,受影响的 Echo eBTC 市场已暂停。该协议补充说,其孤立的市场结构阻止了该问题蔓延到其他贷款池,并表示没有迹象表明 Curvance 自己的智能合约已受到损害。在网络方面,Monad 联合创始人 Keone Hon 表示,区块链本身继续正常运行,并未遭到破坏。
在后来的更新中,议员表示,尽管未经授权的造币厂规模要大得多,但安全研究人员估计已通过该漏洞提取了约 816,000 美元的实际价值。
Echo Protocol 作为跨多个链(包括 Aptos 和 Monad)的比特币流动性和收益平台运营,该协议表示,在调查继续期间,跨链交易已暂停。该团队补充说,未来的更新将通过其官方渠道分享。
2026 年发生了多项 DeFi 漏洞
仅本月,该漏洞就已成为越来越多的 DeFi 安全事件之一,其中包括最近涉及 Verus Protocol 以太坊桥的价值 1160 万美元的漏洞。
今年早些时候,Drift Protocol 在一次漏洞利用中损失了约 2.85 亿美元,而 Kelp DAO 遭受了另一次攻击,导致约 2.92 亿美元的损失。
最近,在区块链调查员 ZachXBT 标记涉嫌价值 1000 万美元的漏洞后,THORChain 停止了交易活动,而 Transit Finance 披露了一次已弃用的智能合约攻击,导致了近 188 万美元的损失。