Echo Protocol sofre $76M exploração do Monad via chave de administrador comprometida

O Echo Protocol, plataforma de agregação de liquidez e infraestrutura de yield para Bitcoin, foi atingido por um exploit em sua implantação na blockchain Monad em 19 de maio de 2026, após um atacante cunhar 1.000 tokens eBTC não autorizados, no valor aproximado de US$ 76,7 milhões. A investigação do protocolo revelou que uma chave admin comprometida na implantação da Monad permitiu a atividade de cunhagem não autorizada. Cerca de US$ 816.000 dos fundos roubados acabaram sendo lavados via Tornado Cash, um mixer de moedas, destacando os riscos de segurança cross-chain enfrentados por plataformas DeFi.

A empresa de segurança de blockchain PeckShield sinalizou o incidente, citando o pesquisador onchain dcfgod. O atacante depositou 45 eBTC (US$ 3,45 milhões) na Curvance e, em seguida, tomou emprestado aproximadamente 11,29 WBTC (US$ 867.700) contra a garantia. O hacker então fez a ponte do WBTC para Ethereum, o trocou por ETH e enviou 384 ETH (~US$ 821.700) para a Tornado Cash.

## Mecanismos do ataque

O exploit seguiu um padrão comum em protocolos cross-chain: uma única credencial comprometida desbloqueou privilégios de cunhagem em toda a implantação. eBTC é a representação tokenizada de Bitcoin do Echo Protocol na Monad, projetada para levar liquidez de Bitcoin para aplicações DeFi nessa blockchain. O atacante explorou essa capacidade de cunhagem para criar tokens não autorizados e extrair valor em múltiplas cadeias.

## Resposta do Echo Protocol

O Echo Protocol confirmou a violação e afirmou que sua investigação “indica que o problema se originou de uma chave admin comprometida que afetou a implantação da Monad”. A equipe disse que a própria rede Monad não foi impactada e continua operando normalmente.

Com base nos achados atuais, cerca de US$ 816.000 foi impactado na Monad. O Echo Protocol afirmou que conseguiu “recuperar com sucesso o controle das nossas chaves admin e queimar os 955 eBTC restantes que estavam sob posse do atacante”.

O incidente parece isolado na Monad, com “nenhuma evidência de comprometimento no Aptos”, segundo o Echo. aBTC no Aptos e eBTC na Monad são ativos separados, não ponteáveis. A exposição atual no Aptos é limitada a aproximadamente US$ 71.000 em mercados de empréstimo do Echo e pools de liquidez da Hyperion, sem perda de fundos confirmada nessa cadeia.

## Ações corretivas

O Echo Protocol implementou as seguintes medidas:

- Pausou a funcionalidade cross-chain para a implantação da Monad
- Concluiu uma atualização de contratos relevantes da Monad “para restringir operações afetadas e fortalecer o controle sobre funções sensíveis”
- Pausou totalmente a ponte do Aptos como precaução, apesar de não haver impacto observado
- Suspendeu o Echo Aptos Lending por segurança
- Atualizou as implantações de ponte da série EVM “para reforçar ainda mais os controles cross-chain e reduzir o risco operacional”
- Realizando uma revisão abrangente da implantação da Monad afetada e da infraestrutura de ponte relacionada, incluindo exposição de chave admin, permissões de contrato, controles cross-chain e controles de cunhagem, em conjunto com parceiros do ecossistema e avaliadores externos de segurança

## Contexto da indústria

A violação do Echo Protocol aumenta a pressão crescente sobre a segurança em DeFi. Exploits recentes incluem ataques ao THORChain e ao TrustedVolumes. No mês passado, a KelpDAO sofreu um ataque ligado à infraestrutura de US$ 293 milhões, atribuído ao Grupo Lazarus, da Coreia do Norte.

Misha Putiatin, cofundador da Symbiotic e da empresa de segurança de contratos inteligentes Statemind, disse à Decrypt que a indústria deve esperar mais incidentes desse tipo à medida que os protocolos passam a depender mais fortemente de componentes off-chain. “Conforme os protocolos DeFi se tornam cada vez mais dependentes de infraestrutura off-chain, é provável que vejamos uma retomada de ataques no estilo ‘Web2.5’ visando a gerência centralizada de chaves, bancos de dados e infraestrutura operacional”, disse Putiatin.

Ao chamar de um “ato de equilíbrio”, Putiatin observou que sistemas com “gerenciamento mais envolvido” ficam cada vez mais vulneráveis a ataques de engenharia social e a ataques à infraestrutura em comparação com “sistemas totalmente sem permissão”.

Putiatin disse que componentes centralizados e off-chain de protocolos DeFi historicamente foram “tratados como áreas de risco secundárias”, mas espera que isso mude. “É provável que vejamos muito mais foco em infraestrutura operacional, gerenciamento de chaves e estruturas de segurança interna, semelhante a como auditorias de contratos inteligentes se tornaram padrão após o ciclo de exploit de 2021”, afirmou.