Echo Protocol 运营在 Monad 公链上,周二遭遇重大安全漏洞:攻击者铸造了约 1,000 枚未经授权的 eBTC 代币,导致未经授权生成的合成比特币价值约 7,670 万美元。公链安全公司 PeckShield 和 Lookonchain 报道了该事件,而 Echo Protocol 随后确认正在调查影响其桥接基础设施的安全问题。根据区块链开发者 Marioo,根本原因被认定为被泄露的管理员私钥,而不是智能合约漏洞;这更像是运营安全遭到破坏,而非协议代码中的技术缺陷。
攻击者很快通过去中心化金融平台开始转移部分被盗资产。根据 PeckShield,黑客将 45 eBTC(价值约 345 万美元)存入 Curvance,这是一个去中心化金融借贷与流动性管理平台。随后,攻击者以抵押品为担保借出约 11.3 枚封装比特币(约 86.8 万美元),然后在完成抵押后将资产跨链到以太坊。
在将资金转移到以太坊后,攻击者将资产兑换为 ETH,并最终通过 Tornado Cash 发送约 384 ETH(价值约 82.2 万美元)。尽管出现上述转移,但大部分被盗资产仍未动用。来自 DeBank 的数据显示,攻击者仍控制约 955 eBTC,这占被盗加密货币的近 95%,价值约 7,300 万美元。
多项安全薄弱点促成了此次利用的规模。这些包括依赖单一签名的管理员角色、缺少时间锁机制、没有铸造供应上限或速率限制,以及对 Curvance 上新铸造抵押品缺乏供应验证检查。
Echo Protocol 表示,在调查继续期间已暂停所有跨链交易。Curvance 表示其自身智能合约未被攻破,但确认在调查期间暂停了受影响的 eBTC 市场。Monad 联合创始人 Keone Hon 澄清称,Monad 公链本身不受影响,并且正在正常运行。
Echo Protocol 的此次漏洞进一步增加了近期去中心化金融攻击事件的清单,补充了涉及 THORChain、Verus Protocol 的以太坊桥、Transit Finance、TrustedVolumes 以及 Ekubo 的相关事件。
相关快讯
