Echo Protocol(ビットコインの流動性集約およびイールド基盤プラットフォーム)は、2026年5月19日に、攻撃者が価値がおよそ7,670万ドルの1,000の不正なeBTCトークンを発行したことで、Monadブロックチェーンのデプロイでエクスプロイトを受けました。プロトコルの調査により、Monadデプロイで妥協した管理者(admin)キーが不正な発行アクティビティを可能にしていたことが判明しました。盗まれた資金のうちおよそ81万6,000ドルは最終的に、コインミキサーであるTornado Cashを通じてマネーロンダリングされたことが確認され、DeFiプラットフォームが直面するクロスチェーンのセキュリティリスクの大きさが浮き彫りになりました。
ブロックチェーンのセキュリティ企業PeckShieldは、オンチェーンの研究者dcfgodを挙げつつ、この件を指摘しました。攻撃者はCurvanceに45eBTC(345万ドル)を預け、その担保に対して約11.29WBTC(2.93億7,700ドル)を借り入れました。その後、ハッカーはWBTCをEthereumへブリッジし、それをETHにスワップして、384ETH(約82万1,700ドル)をTornado Cashへ送信しました。
## 攻撃メカニクス
このエクスプロイトは、クロスチェーン・プロトコルでよく見られるパターンに従いました。つまり、1つの侵害された資格情報(クレデンシャル)が、デプロイ全体にわたるミント権限を解放してしまうというものです。eBTCはMonad上での、ビットコイン流動性をそのブロックチェーン上のDeFiアプリケーションへ持ち込むことを目的にした、Echo Protocolのラップド・ビットコイン表現です。攻撃者はこのミント機能を悪用して、不正なトークンを作成し、複数のチェーンにまたがって価値を取り出しました。
## Echo Protocolの対応
Echo Protocolは侵害を確認し、その調査によって「問題は、Monadデプロイに影響を与えた妥協済みのadminキーに起因していることを示しています」と述べました。同チームは、Monadネットワーク自体には影響がなく、通常どおり稼働し続けているとしました。
現在の調査結果に基づくと、Monadで影響を受けたのはおよそ81万6,000ドルです。Echo Protocolは、攻撃者の保有していた残りの955eBTCを「adminキーを正常に取り戻し、焼却(burn)しました」としています。
この事件はMonadに限定されたもののようで、Echoによれば「Aptosでの侵害を示す証拠はありません」。Aptos上のaBTCとMonad上のeBTCは別個の、ブリッジ不可能な資産です。現在のAptosへのエクスポージャーは、Echoの貸付マーケットとHyperionの流動性プール全体でおよそ7万1,000ドルに限定されており、このチェーンでの資金の損失は確認されていません。
## 取るべき是正措置
Echo Protocolは以下の対策を実施しました:
- Monadデプロイにおけるクロスチェーン機能を停止
- 関連するMonadコントラクトのアップグレードを完了し、「影響を受けた操作を制限し、機密機能のコントロールを強化する」ことを目的とした
- 観測された影響がないにもかかわらず、予防措置としてAptosブリッジを完全停止
- セキュリティのためEcho Aptos Lendingを停止
- クロスチェーンの統制をさらに強化し、運用上のリスクを低減するために、EVMシリーズのブリッジデプロイをアップグレード
- 影響を受けたMonadデプロイおよび関連するブリッジ基盤について、adminキーの露出、コントラクト権限、クロスチェーン統制、ミント統制を含め、エコシステムのパートナーや外部のセキュリティ審査担当者とともに包括的な見直しを実施
## 業界の背景
Echo Protocolの侵害は、DeFiセキュリティにかかる圧力が高まっている状況に拍車をかけます。最近の悪用としてはTHORChainやTrustedVolumesへの攻撃があります。先月はKelpDAOが2億9,300万ドルの、インフラに関連した攻撃を受けており、北朝鮮のLazarus Groupによるものだとされています。
Symbioticの共同創業者でスマートコントラクトのセキュリティ企業StatemindのMisha Putiatinは、Decryptに対し、プロトコルがオフチェーン要素への依存を強めるほど、この種のインシデントはさらに増えるはずだと語りました。「DeFiプロトコルがますますオフチェーン基盤に依存するようになると、中央集権的なキー管理、データベース、運用インフラを狙う“Web2.5”型の攻撃が再び増える可能性が高いです」とPutiatinは述べました。
「バランスの取り引き」だとしつつ、Putiatinは「“管理がより複雑な”システムは、“完全にパーミッションレスなシステム”に比べて、ソーシャルエンジニアリングやインフラ攻撃への脆弱性が高まっていく」と指摘しました。
Putiatinは、DeFiプロトコルの中央集権的およびオフチェーンの構成要素はこれまで「二次的なリスク領域として扱われてきた」が、それが変わると見込んでいます。「2021年のエクスプロイト・サイクル以降、スマートコントラクトの監査が標準になったのと同じように、運用インフラ、キー管理、内部セキュリティのための枠組みに、これまで以上に強い注目が集まるでしょう」と同氏は語りました。
