Le protocole Echo enquête sur un incident de sécurité impliquant son pont sur Monad après que des analystes on-chain de la crypto ont déclaré qu'un attaquant avait miné 1 000 eBTC et utilisé une partie de la position pour extraire de la liquidité en WBTC via Curvance.
La première alerte publique est venue de l'analyste on-chain DCF GOD, qui a écrit qu'Echo "a peut-être été piraté sur Monad". Il a ajouté : "Quelqu'un a miné 1 000 ebtc à partir de rien, a emprunté au maximum du wbtc contre cela sur Curvance, a effectué un pontage, et est parti via Tornado." Une publication ultérieure pointait vers une transaction Monad montrant un transfert de 1 000 eBTC le 18 mai à 21:21:32 UTC.
Un jeton crypto de 76 millions de dollars déclenche l'alarme
Lookonchain a ensuite détaillé la séquence signalée. Selon ce compte, l'attaquant a miné 1 000 eBTC, d'une valeur d'environ 76,64 millions de dollars, déposé 45 eBTC valant environ 3,45 millions de dollars sur Curvance, emprunté 11,3 WBTC valant environ 867 000 dollars, ponté le WBTC vers Ethereum, l'a échangé contre 385 ETH valant environ 821 000 dollars, et a déposé l'ETH sur Tornado Cash. Lookonchain a déclaré que l'attaquant détenait encore 955 eBTC, d'une valeur d'environ 73,2 millions de dollars.
Le fondateur et PDG de Phylax Systems, Odysseas Lamtzidis, a déclaré que le traçage des transactions pointait non pas vers une faille de prêt de Curvance, mais vers une compromission de la gestion des rôles côté eBTC. "Trace Monad eBTC/Curvance : pas un bug de prêt Curvance", a-t-il écrit. "L'administrateur eBTC a accordé le DEFAULT_ADMIN_ROLE à 0x6A0109, qui a révoqué l'admin, s'est auto-attribué le MINTER_ROLE, a miné 1 000 eBTC, a posté 45 eBTC en garantie et a emprunté ~11,296 WBTC." Lamtzidis a déclaré que le schéma "ressemble à une compromission de clé/rôle admin", citant les transactions clés pour l'octroi d'admin, le minage et l'emprunt.
Echo a confirmé l'incident sans publier d'analyse de cause racine. "Nous enquêtons actuellement sur un incident de sécurité affectant le pont Echo sur Monad. Toutes les transactions cross-chain restent suspendues pendant que l'enquête est en cours. Nous continuerons à fournir des mises à jour en temps opportun via nos canaux officiels au fur et à mesure que de nouvelles informations deviendront disponibles." La suspension fait du pont le point opérationnel immédiat, et pas seulement du marché de prêt qui a traité la garantie.
L'exposition de Curvance semble être venue via le marché eBTC d'Echo affecté. Curvance a suspendu ce marché pendant que les équipes enquêtaient, et a cité Curvance disant qu'il n'y avait aucune indication que ses smart contracts avaient été compromis et que son architecture de marché isolé signifiait que les autres marchés n'étaient pas affectés. De plus, le réseau Monad lui-même n'a pas été affecté.
Le PDG de Monad, Keone Hon, a écrit via X : "Pour clarifier, le réseau Monad n'est pas affecté et fonctionne normalement. Les chercheurs en sécurité dans leur revue ont déterminé qu'environ 816 000 dollars semblent avoir été volés à la suite de cette exploitation du protocole Echo's eBTC."
L'incident illustre un schéma d'échec pont-vers-prêt familier. Une fois qu'un actif ponté ou synthétique est traité comme une garantie valide, même un chemin de conversion partiel peut transformer une défaillance côté offre en une perte réelle de liquidité. Dans ce cas, le minage d'eBTC a été utilisé pour emprunter du WBTC, le déplacer hors de Monad, le convertir en ETH, et acheminer les fonds via un mélangeur avant que la position notionnelle plus large ne soit entièrement monétisée.
La prochaine mise à jour d'Echo devra répondre à plusieurs questions tournées vers le marché : si l'eBTC non autorisé a été neutralisé, si Curvance fait face à une dette irrécouvrable due à l'emprunt de WBTC, quelles autorisations de pont ou contrats étaient impliqués, et quand les transactions cross-chain pourront reprendre en toute sécurité. Jusque-là, le marché eBTC sur Monad reste le point de pression clé pour les utilisateurs essayant d'évaluer si l'incident a été contenu ou simplement ralenti.
L'exploitation d'Echo survient également pendant une période difficile pour les infrastructures crypto. Le 15 mai, THORChain a perdu plus de 10 millions de dollars sur Bitcoin, Ethereum, BNB Chain et Base, dont 36,75 BTC et environ 7 millions de dollars en d'autres actifs. Quelques jours plus tard, le pont Verus-Ethereum a été vidé pour environ 11,5 millions de dollars, des rapports disant que l'attaquant a pris 103,6 tBTC, 1 625 ETH et 147 000 USDC avant de consolider le butin en environ 5 402 ETH. Echo offre maintenant aux marchés un autre rappel que la conception des ponts, l'acceptation des garanties et le routage de la liquidité restent l'une des surfaces d'attaque les plus exposées du DeFi.
[MISE À JOUR de X :] Le protocole Echo a confirmé : "Plus tôt aujourd'hui, le protocole Echo a identifié une activité non autorisée impliquant l'eBTC sur Monad qui a entraîné un minage non autorisé et une perte de fonds associée. Notre enquête indique que le problème provient d'une clé admin compromise affectant le déploiement sur Monad. Sur la base des résultats actuels, environ 816 000 dollars ont été impactés sur Monad. Le réseau Monad lui-même n'a pas été impacté et continue de fonctionner normalement.
Depuis la détection de l'incident, nous avons activement enquêté sur une exposition cross-chain potentielle, coordonné avec les partenaires de l'écosystème et mis en œuvre des mesures de précaution supplémentaires. Nous avons réussi à reprendre le contrôle de nos clés admin et à brûler les 955 eBTC restants qui étaient en possession de l'attaquant."
Au moment de la rédaction, la capitalisation totale du marché crypto s'élevait à 2,54 billions de dollars.
