Le protocole Echo touché par une faille d’exploitation de minting non autorisé d’eBTC d’une valeur de 76,7 millions de dollars

Echo Protocol, qui opère sur la blockchain Monad, a subi une importante faille de sécurité mardi, lorsqu’un attaquant a émis environ 1 000 jetons eBTC non autorisés, entraînant la création sans autorisation d’un Bitcoin synthétique d’une valeur d’environ 76,7 millions de dollars. Des sociétés de sécurité blockchain PeckShield et Lookonchain ont rapporté l’incident, tandis qu’Echo Protocol a ensuite confirmé enquêter sur un problème de sécurité affectant l’infrastructure de son pont. La cause première a été identifiée comme une clé privée d’admin compromise plutôt qu’une vulnérabilité de contrat intelligent, d’après le développeur blockchain Marioo, faisant de cette affaire une compromission de sécurité opérationnelle plutôt qu’un défaut technique du code du protocole.

Détails de l’exploit et mouvement des actifs

L’attaquant a rapidement commencé à déplacer des portions des actifs volés via des plateformes de finance décentralisée. D’après PeckShield, le pirate a déposé 45 eBTC, d’une valeur d’environ 3,45 millions de dollars, dans Curvance, une plateforme DeFi de prêt et de gestion de liquidité. L’attaquant a ensuite emprunté environ 11,3 wrapped Bitcoin d’une valeur d’environ 868 000 dollars sur la base de la garantie, avant de transférer les actifs vers Ethereum.

Après avoir transféré les fonds vers Ethereum, l’attaquant a échangé les actifs contre de l’ETH, puis a finalement envoyé environ 384 ETH, d’une valeur d’environ 822 000 dollars, via Tornado Cash. Malgré ces mouvements, la majorité des actifs volés reste intacte. Les données de DeBank indiquent que l’attaquant contrôle encore environ 955 eBTC, ce qui représente près de 95% de la cryptomonnaie volée et vaut environ 73 millions de dollars.

Faiblesses de sécurité identifiées

Plusieurs faiblesses de sécurité ont contribué à l’ampleur de l’exploit. Elles incluent la dépendance à un rôle d’admin à signature unique, l’absence de mécanisme de timelock, l’absence de plafond d’émission ou de limite de cadence, et le manque de contrôles de validation de l’offre pour la nouvelle garantie frappée sur Curvance.

Réponse et mises à jour du statut

Echo Protocol a annoncé que toutes les transactions inter-chaînes ont été suspendues pendant la poursuite de l’enquête. Curvance a déclaré que ses propres contrats intelligents n’étaient pas compromis, tout en confirmant avoir interrompu le marché eBTC concerné pendant que les investigations se poursuivent. Le cofondateur de Monad, Keone Hon, a précisé que la blockchain Monad elle-même n’est pas affectée et fonctionne normalement.

L’exploit d’Echo Protocol s’ajoute à une liste croissante d’attaques DeFi récentes, en rejoignant des incidents impliquant THORChain, le pont Ethereum de Verus Protocol, Transit Finance, TrustedVolumes et Ekubo.