O Echo Protocol é atingido por um exploit de mintagem não autorizada de eBTC no valor de 76,7 milhões de dólares

O Echo Protocol, que opera na blockchain Monad, sofreu uma grande falha de segurança na terça-feira, quando um atacante cunhou cerca de 1.000 tokens eBTC não autorizados, resultando na criação sem autorização de aproximadamente 76,7 milhões de dólares em Bitcoin sintético. As firmas de segurança blockchain PeckShield e Lookonchain reportaram o incidente, enquanto o Echo Protocol mais tarde confirmou que estava a investigar um problema de segurança que afetava a sua infraestrutura de bridge. A causa raiz foi identificada como uma chave privada de admin comprometida, e não uma vulnerabilidade de smart contract, de acordo com o developer de blockchain Marioo, tornando isto uma falha de segurança operacional em vez de uma falha técnica no código do protocolo.

Detalhes do Exploit e Movimento de Ativos

O atacante começou rapidamente a mover partes dos ativos roubados através de plataformas de finanças descentralizadas. Segundo a PeckShield, o hacker depositou 45 eBTC, avaliados em cerca de 3,45 milhões de dólares, na Curvance, uma plataforma DeFi de empréstimos e gestão de liquidez. O atacante seguiu então com um empréstimo de aproximadamente 11,3 wrapped Bitcoin no valor de cerca de 868.000 dólares, tendo por base a garantia, antes de fazer bridge dos ativos para Ethereum.

Após transferir os fundos para Ethereum, o atacante trocou os ativos por ETH e, por fim, enviou cerca de 384 ETH, avaliados em aproximadamente 822.000 dólares, através do Tornado Cash. Apesar destes movimentos, a maioria dos ativos roubados permanece intocada. Os dados da DeBank indicam que o atacante continua a controlar cerca de 955 eBTC, o que representa perto de 95% da criptomoeda roubada e tem um valor de cerca de 73 milhões de dólares.

Vulnerabilidades de Segurança Identificadas

Várias fragilidades de segurança contribuíram para a escala do exploit. Estas incluem a dependência de um papel de admin com assinatura única, a ausência de um mecanismo de timelock, a inexistência de um limite de supply de minting ou de um limite de taxa, e a falta de validações de supply para a nova garantia cunhada na Curvance.

Resposta e Atualizações de Estado

O Echo Protocol anunciou que todas as transações cross-chain foram suspensas enquanto a investigação continuava. A Curvance afirmou que os seus próprios smart contracts não foram comprometidos, mas confirmou que pausou o mercado de eBTC afetado enquanto as investigações prosseguem. O cofundador da Monad, Keone Hon, esclareceu que a blockchain Monad em si não está afetada e está a operar normalmente.

O exploit do Echo Protocol junta-se a uma lista crescente de recentes ataques DeFi, em que se incluem incidentes envolvendo THORChain, o bridge Ethereum do Verus Protocol, Transit Finance, TrustedVolumes e Ekubo.