Sự cố hack tiền điện tử tấn công Echo khi thị trường eBTC của Monad gánh chịu hậu quả

Giao thức Echo đang điều tra một sự cố bảo mật liên quan đến cầu nối (bridge) của mình trên Monad sau khi các nhà phân tích on-chain trong lĩnh vực tiền điện tử cho biết một kẻ tấn công đã đúc 1.000 eBTC và sử dụng một phần số tiền này để rút thanh khoản WBTC thông qua Curvance.

Cảnh báo công khai đầu tiên đến từ nhà phân tích on-chain DCF GOD, người đã viết rằng Echo "có thể đã bị hack trên Monad". Ông nói thêm: "Ai đó đã đúc 1k ebtc từ hư không, vay tối đa wbtc dùng nó làm tài sản thế chấp trên Curvance, chuyển qua bridge và 'tornado' biến mất". Một bài đăng tiếp theo chỉ ra một giao dịch trên Monad cho thấy việc chuyển 1.000 eBTC vào lúc 21:21:32 UTC ngày 18 tháng 5.

Việc Đúc $76M Tiền Điện Tử Gây Báo Động

Lookonchain sau đó đã vạch ra chi tiết hơn chuỗi sự kiện được báo cáo. Theo tài khoản này, kẻ tấn công đã đúc 1.000 eBTC, trị giá khoảng 76,64 triệu đô la, gửi 45 eBTC trị giá khoảng 3,45 triệu đô la vào Curvance, vay 11,3 WBTC trị giá khoảng 867.000 đô la, chuyển qua bridge số WBTC sang Ethereum, hoán đổi nó lấy 385 ETH trị giá khoảng 821.000 đô la và gửi ETH vào Tornado Cash. Lookonchain cho biết kẻ tấn công vẫn nắm giữ 955 eBTC, trị giá khoảng 73,2 triệu đô la.

Người sáng lập kiêm CEO của Phylax Systems, Odysseas Lamtzidis, cho biết dấu vết giao dịch chỉ ra rằng đây không phải là lỗi cho vay của Curvance mà là một sự xâm phạm liên quan đến quản lý vai trò (role-management) ở phía eBTC. Ông viết: "Dấu vết Monad eBTC/Curvance: không phải lỗi cho vay của Curvance. Quản trị viên eBTC đã cấp quyền DEFAULT_ADMIN_ROLE cho địa chỉ 0x6A0109, người này đã thu hồi quyền admin, tự cấp cho mình quyền MINTER_ROLE, đúc 1.000 eBTC, dùng 45 eBTC làm tài sản thế chấp và vay ~11,296 WBTC." Lamtzidis nói rằng mô hình này "có vẻ như là sự xâm phạm khóa/vai trò quản trị viên (admin-key/role compromise)", trích dẫn các giao dịch chính để cấp quyền admin, đúc và vay.

Echo đã xác nhận sự cố nhưng không công bố phân tích nguyên nhân gốc rễ. "Chúng tôi hiện đang điều tra một sự cố bảo mật ảnh hưởng đến cầu nối Echo trên Monad. Tất cả các giao dịch cross-chain vẫn bị tạm ngưng trong khi cuộc điều tra đang được tiến hành. Chúng tôi sẽ tiếp tục cung cấp các cập nhật kịp thời thông qua các kênh chính thức của chúng tôi khi có thêm thông tin." Việc đình chỉ này khiến cầu nối trở thành trọng tâm hoạt động ngay lập tức, không đơn thuần chỉ là thị trường cho vay đã xử lý tài sản thế chấp.

Sự phơi nhiễm của Curvance dường như đã xảy ra thông qua thị trường eBTC của Echo bị ảnh hưởng. Curvance đã tạm dừng thị trường đó trong khi các nhóm điều tra, và trích dẫn Curvance cho biết không có dấu hiệu nào cho thấy hợp đồng thông minh của họ đã bị xâm phạm và kiến trúc thị trường biệt lập của họ có nghĩa là các thị trường khác không bị ảnh hưởng. Ngoài ra, bản thân mạng lưới Monad cũng không bị ảnh hưởng.

CEO Monad Keone Hon đã viết qua X: "Để làm rõ, mạng lưới Monad không bị ảnh hưởng và đang hoạt động bình thường. Các nhà nghiên cứu bảo mật trong đánh giá của họ đã xác định rằng ~816.000 đô la dường như đã bị đánh cắp do lỗ hổng khai thác này của Giao thức Echo eBTC.

Sự cố này minh họa một mô hình thất bại quen thuộc từ bridge đến cho vay. Một khi tài sản được bridge hoặc tài sản tổng hợp được coi là tài sản thế chấp hợp lệ, ngay cả một đường chuyển đổi một phần cũng có thể biến một thất bại ở phía cung cấp thành tổn thất thanh khoản thực tế. Trong trường hợp này, lượng eBTC được đúc đã được sử dụng để vay WBTC, chuyển nó khỏi Monad, chuyển đổi thành ETH và định tuyến số tiền qua một bộ trộn (mixer) trước khi vị thế danh nghĩa lớn hơn được hiện thực hóa hoàn toàn.

Bản cập nhật tiếp theo của Echo sẽ cần trả lời một số câu hỏi liên quan đến thị trường: liệu lượng eBTC trái phép đã được vô hiệu hóa hay chưa, liệu Curvance có phải đối mặt với nợ xấu từ khoản vay WBTC hay không, quyền hoặc hợp đồng bridge nào liên quan, và khi nào các giao dịch cross-chain có thể nối lại một cách an toàn. Cho đến lúc đó, thị trường eBTC trên Monad vẫn là điểm áp lực chính đối với người dùng đang cố gắng đánh giá xem sự cố đã được ngăn chặn hay chỉ bị làm chậm lại.

Vụ khai thác Echo cũng xảy ra trong một giai đoạn khó khăn đối với cơ sở hạ tầng tiền điện tử. Vào ngày 15 tháng 5, THORChain đã mất hơn 10 triệu đô la trên Bitcoin, Ethereum, BNB Chain và Base, bao gồm 36,75 BTC và khoảng 7 triệu đô la tài sản khác. Vài ngày sau, Cầu nối Verus-Ethereum đã bị rút cạn khoảng 11,5 triệu đô la, với các báo cáo cho biết kẻ tấn công đã lấy 103,6 tBTC, 1.625 ETH và 147.000 USDC trước khi hợp nhất số tiền này thành khoảng 5.402 ETH. Echo giờ đây lại nhắc nhở các thị trường rằng thiết kế bridge, chấp nhận tài sản thế chấp và định tuyến thanh khoản vẫn là một trong những bề mặt tấn công dễ bị tổn thương nhất của DeFi.

[CẬP NHẬT từ X:] Giao thức Echo đã xác nhận: "Hôm nay, Giao thức Echo đã xác định hoạt động trái phép liên quan đến eBTC trên Monad dẫn đến việc đúc trái phép và tổn thất quỹ liên quan. Cuộc điều tra của chúng tôi chỉ ra vấn đề bắt nguồn từ một khóa quản trị viên bị xâm phạm ảnh hưởng đến triển khai trên Monad. Dựa trên các phát hiện hiện tại, khoảng 816.000 đô la đã bị ảnh hưởng trên Monad. Bản thân mạng lưới Monad không bị ảnh hưởng và tiếp tục hoạt động bình thường.

Kể từ khi phát hiện sự cố, chúng tôi đã tích cực điều tra khả năng phơi nhiễm cross-chain, phối hợp với các đối tác trong hệ sinh thái và thực hiện các biện pháp phòng ngừa bổ sung. Chúng tôi đã giành lại quyền kiểm soát các khóa quản trị viên và đốt 955 eBTC còn lại đang thuộc sở hữu của kẻ tấn công."

Tại thời điểm đưa tin, tổng vốn hóa thị trường tiền điện tử đạt 2,54 nghìn tỷ đô la.