Echo Protocol 於週二在 Monad 公鏈上運作時,遭遇重大安全漏洞入侵。攻擊者在未授權的情況下鑄造了約 1,000 個未授權的 eBTC 代幣,導致未授權創建約 7,670 萬美元價值的合成比特幣(synthetic Bitcoin)。區塊鏈安全公司 PeckShield 與 Lookonchain 報導了此事件;其後 Echo Protocol 確認正在調查影響其橋接基礎設施的安全問題。區塊鏈開發者 Marioo 指出,根本原因是遭到竊取的管理員私鑰遭到破壞,而非智慧合約漏洞,這使其屬於營運安全性遭侵犯,而不是協定程式碼中的技術瑕疵。
攻擊者很快開始透過去中心化金融平台移動部分被竊資產。根據 PeckShield 的說法,駭客將 45 eBTC(價值約 345 萬美元)存入 Curvance,一個去中心化金融借貸與流動性管理平台。接著,攻擊者以該抵押品借出約 11.3 枚包裝比特幣(wrapped Bitcoin),約為 86.8 萬美元,然後將資產橋接至以太坊。
在將資金轉移到以太坊後,攻擊者將資產兌換成 ETH,並最終透過 Tornado Cash 送出約 384 ETH(價值約 82.2 萬美元)。儘管有這些移動,被竊資產的多數仍未遭動用。來自 DeBank 的數據顯示,攻擊者仍控制約 955 eBTC,約占被竊加密貨幣的 95%,價值約 7,300 萬美元。
多項安全弱點促成了此次漏洞利用的規模。這些弱點包括:依賴單一簽名的管理員角色、缺乏時間鎖(timelock)機制、沒有鑄幣供給上限或速率限制,以及缺少對 Curvance 新鑄造抵押品的供給驗證檢查。
Echo Protocol 宣布在調查持續期間,所有跨鏈交易都已暫停。Curvance 表示其自身智慧合約未遭到入侵,但確認在調查期間已暫停受影響的 eBTC 市場。Monad 共同創辦人 Keone Hon 釐清,Monad 公鏈本身不受影響,且正在正常運作。
Echo Protocol 的此次漏洞利用,為近期去中心化金融攻擊事件的清單再添一筆,與涉及 THORChain、Verus Protocol 的以太坊橋接、Transit Finance、TrustedVolumes 以及 Ekubo 的事件並列。
相關新聞
Echo Protocol 漏洞利用:$816K 透過在 Monad 上的 eBTC 攻擊遭竊
Bitcoin Depot 正式申請破產,9000 台加密 ATM 停服
Echo Protocol 暫停所有跨鏈交易,Admin 私鑰遭竊鑄造 1000 枚 eBTC
加密錢包轉帳牽涉 Anchor $13 Million 的聯邦詐欺案
Gate日報(5月19日):SEC最早本週發布代幣化股票「創新豁免」規則;Echo Protocl遭駭客攻擊
