El protocolo de finanzas descentralizadas Echo Protocol fue explotado después de que un atacante acuñara alrededor de 1.000 eBTC no autorizados en el protocolo, que se despliega en la blockchain Monad.
La firma de seguridad de blockchain PeckShield y la plataforma de análisis Lookonchain informaron del incidente el martes, señalando que un hacker acuñó 1.000 Bitcoin sintéticos (eBTC) por alrededor de 76,7 millones de dólares.
“Estamos investigando actualmente un incidente de seguridad que afecta al puente Echo en Monad. Todas las transacciones entre cadenas permanecen suspendidas mientras se lleva a cabo la investigación”, dijo Echo Protocol el martes.
Este último exploit ocurre en un mes que ha visto al menos 12 protocolos comprometidos, incluyendo THORChain, el puente de Ethereum de Verus Protocol, Transit Finance, TrustedVolumes y Ekubo.
Según PeckShield, el atacante intentó lavar parte del botín depositando 45 eBTC por alrededor de 3,45 millones de dólares en el protocolo de préstamos y gestión de liquidez DeFi Curvance.
El atacante luego prestó 11,3 Bitcoin envueltos (wBTC) por 868.000 dólares contra él, transfirió los tokens a Ethereum, los intercambió por ETH y envió 384 ETH por alrededor de 822.000 dólares al servicio de mezcla Tornado Cash.
El atacante todavía posee 955 eBTC por alrededor de 73 millones de dólares, según DeBank.
Echo Protocol es una plataforma DeFi de Bitcoin centrada en la agregación de liquidez de Bitcoin, staking líquido, restaking y generación de rendimiento. Crea activos BTC unificados y líquidos como eBTC para que los usuarios los puenteen y desplieguen en DeFi para obtener rendimiento adicional. El protocolo se despliega en Monad, una blockchain de capa 1, compatible con EVM y de alto rendimiento.
El atacante todavía posee el 95% de los criptoactivos robados. Fuente: DeBank
Compromiso de la clave privada de administración
El desarrollador de blockchain “Marioo” informó que no fue un error en el contrato inteligente, sino un compromiso de la clave privada de administración, y la causa raíz fue “operativa, no técnica”.
El contrato eBTC “funcionó exactamente como se diseñó”, dijeron, agregando que las vulnerabilidades incluían una sola firma para el rol de administración, sin bloqueo de tiempo, sin límite de suministro de acuñación o límite de tasa, y sin “verificación de cordura de suministro” por parte de Curvance para el colateral recién acuñado.
Curvance informó que estaba al tanto de la “anomalía” detectada en el mercado Echo eBTC en Curvance y confirmó que no hubo compromiso con sus propios contratos inteligentes. Pausó el mercado afectado para la investigación.
El cofundador de Monad, Keone Hon, aclaró en X que “la red Monad no se vio afectada y está operando normalmente”.
Mientras tanto, Echo Protocol dijo que proporcionará actualizaciones a través de sus canales oficiales a medida que se disponga de más información.
Los hacks DeFi aumentan en 2026
El año ha sido desafiante para la seguridad DeFi, con docenas de protocolos explotados por cientos de millones en cripto y más de 20 protocolos que cierran servicios.
Dos de los hacks más grandes de este año incluyeron el exploit de Drift Protocol, que perdió 285 millones de dólares, y Kelp DAO, que fue explotado por 292 millones de dólares en abril.
El lunes, el puente de Ethereum de Verus Protocol fue explotado a través de un mensaje de transferencia entre cadenas falso que permitió a un hacker robar al menos 11,6 millones de dólares en cripto.
El protocolo de liquidez descentralizada THORChain detuvo las operaciones el viernes después de que el investigador de blockchain ZachXBT señalara un presunto 10 millones de dólares de exploit.
Mientras tanto, Transit Finance sufrió un exploit de contrato inteligente obsoleto, lo que resultó en la pérdida de 1,88 millones de dólares la semana pasada.
