Echo Protocol, một nền tảng tổng hợp thanh khoản Bitcoin và hạ tầng tạo lợi nhuận, đã bị tấn công khai thác trên bản triển khai Monad của mình vào ngày 19/5/2026, sau khi kẻ tấn công đúc 1.000 token eBTC không được ủy quyền, trị giá khoảng 76,7 triệu USD. Qua quá trình điều tra, giao thức phát hiện rằng một khóa admin bị xâm phạm trên bản triển khai Monad đã cho phép hoạt động đúc trái phép này. Khoảng 816.000 USD trong số tiền bị đánh cắp cuối cùng đã được rửa thông qua Tornado Cash, một công cụ trộn coin, qua đó làm nổi bật rủi ro bảo mật xuyên chuỗi mà các nền tảng DeFi đang phải đối mặt.
Công ty bảo mật blockchain PeckShield đã nêu vụ việc, dựa trên nhà nghiên cứu onchain dcfgod. Kẻ tấn công nạp 45 eBTC (3,45 triệu USD) vào Curvance, sau đó vay khoảng 11,29 WBTC (867.700 USD) dựa trên tài sản thế chấp. Tiếp đó, hacker chuyển cầu WBTC sang Ethereum, hoán đổi nó lấy ETH, rồi gửi 384 ETH (~821.700 USD) đến Tornado Cash.
## Cơ chế tấn công
Vụ khai thác diễn ra theo một mẫu thường thấy ở các giao thức xuyên chuỗi: một thông tin đăng nhập (credential) bị xâm phạm duy nhất mở quyền đúc trên toàn bộ bản triển khai. eBTC là phiên bản Bitcoin được bọc của Echo Protocol trên Monad, được thiết kế để đưa thanh khoản Bitcoin vào các ứng dụng DeFi trên blockchain này. Kẻ tấn công tận dụng khả năng đúc để tạo token trái phép và rút giá trị trên nhiều chuỗi.
## Phản hồi của Echo Protocol
Echo Protocol xác nhận đã xảy ra vi phạm và cho biết cuộc điều tra của họ “cho thấy sự cố bắt nguồn từ một khóa admin bị xâm phạm, ảnh hưởng đến bản triển khai Monad.” Nhóm cho biết bản thân mạng Monad không bị ảnh hưởng và vẫn hoạt động bình thường.
Dựa trên các phát hiện hiện tại, khoảng 816.000 USD đã bị ảnh hưởng trên Monad. Echo Protocol cho biết “đã thành công giành lại quyền kiểm soát các khóa admin của chúng tôi và đốt (burn) 955 eBTC còn lại mà đang nằm trong sự chiếm giữ của kẻ tấn công.”
Sự cố dường như chỉ giới hạn ở Monad, với “không có bằng chứng bị xâm phạm trên Aptos” theo Echo. aBTC trên Aptos và eBTC trên Monad là các tài sản riêng biệt, không thể chuyển qua cầu. Phơi nhiễm hiện tại trên Aptos chỉ giới hạn ở khoảng 71.000 USD trên các thị trường cho vay của Echo và các pool thanh khoản Hyperion, không có khoản lỗ nào được xác nhận trên chuỗi đó.
## Các hành động khắc phục
Echo Protocol đã triển khai các biện pháp sau:
- Tạm dừng chức năng xuyên chuỗi cho bản triển khai Monad
- Hoàn tất việc nâng cấp các hợp đồng Monad liên quan “để hạn chế các thao tác bị ảnh hưởng và tăng cường kiểm soát đối với các chức năng nhạy cảm”
- Tạm dừng đầy đủ cầu nối Aptos như một biện pháp phòng ngừa dù không ghi nhận tác động
- Tạm ngưng Echo Aptos Lending vì bảo mật
- Nâng cấp các bản triển khai cầu thuộc dòng EVM “để tăng cường hơn nữa các kiểm soát xuyên chuỗi và giảm rủi ro vận hành”
- Tiến hành rà soát toàn diện bản triển khai Monad bị ảnh hưởng và hạ tầng cầu nối liên quan, bao gồm sự phơi nhiễm khóa admin, quyền của hợp đồng, các kiểm soát xuyên chuỗi và cơ chế đúc, cùng với các đối tác hệ sinh thái và các bên rà soát bảo mật bên ngoài
## Bối cảnh ngành
Vụ vi phạm của Echo Protocol làm gia tăng áp lực ngày càng lớn đối với bảo mật DeFi. Một số vụ khai thác gần đây bao gồm các cuộc tấn công vào THORChain và TrustedVolumes. Tháng trước, KelpDAO đã hứng chịu một cuộc tấn công liên quan đến hạ tầng trị giá 293 triệu USD, được cho là do Nhóm Lazarus của Bắc Triều Tiên gây ra.
Misha Putiatin, đồng sáng lập của Symbiotic và công ty bảo mật hợp đồng thông minh Statemind, nói với Decrypt rằng ngành nên kỳ vọng sẽ có nhiều sự cố tương tự hơn khi các giao thức dựa chặt hơn vào các thành phần ngoài chuỗi. “Khi các giao thức DeFi ngày càng phụ thuộc vào hạ tầng ngoài chuỗi, chúng ta có thể sẽ thấy sự quay trở lại của các cuộc tấn công kiểu ‘Web2.5’ nhắm vào quản lý khóa tập trung, cơ sở dữ liệu và hạ tầng vận hành,” Putiatin nói.
Gọi đây là “một bài toán cân bằng,” Putiatin cho biết các hệ thống “việc quản lý phức tạp hơn” sẽ ngày càng dễ bị tổn thương trước các cuộc tấn công bằng kỹ thuật xã hội và tấn công vào hạ tầng, so với các “hệ thống hoàn toàn không cần cấp phép” (fully permissionless).
Putiatin nói rằng các thành phần tập trung và ngoài chuỗi của các giao thức DeFi trước đây vẫn thường “được xem là các khu vực rủi ro thứ yếu,” nhưng ông kỳ vọng điều này sẽ thay đổi. “Chúng ta có thể sẽ chứng kiến mức độ tập trung nhiều hơn vào hạ tầng vận hành, quản lý khóa và các khuôn khổ bảo mật nội bộ, tương tự như cách kiểm toán hợp đồng thông minh trở nên tiêu chuẩn sau chu kỳ vụ khai thác năm 2021,” ông nói.
