- El atacante del Protocolo Echo acuñó 1.000 eBTC falsos por valor de 76,6 millones de dólares.
- El ataque fue resultado de que hackers comprometieron la clave privada de un administrador.
- Investigadores de seguridad estimaron pérdidas reales cercanas a 816.000 dólares debido a la baja liquidez.
El protocolo DeFi de Bitcoin Echo Protocol sufrió una gran vulnerabilidad después de que un atacante tomara el control de la clave privada de administrador del protocolo y acuñara 1.000 eBTC no autorizados en la blockchain de Monad.
La falsa casa de moneda tenía un valor en papel de aproximadamente 76,64 millones de dólares. La mayoría de los tokens siguen atrapados en el monedero del atacante debido a la baja liquidez en los mercados DeFi basados en Monad.
El exploit se suma a una creciente oleada de ataques DeFi este mes. May ya ha registrado al menos 14 hackeos cripto separados a través de protocolos y puentes.
El atacante utilizó eBTC falso como garantía de préstamo
Los investigadores de blockchain rastrearon los movimientos del atacante poco después de que saliera a la luz el exploit. La cartera depositó 45 eBTC, valorados en alrededor de 3,45 millones de dólares, en el protocolo de préstamo Curvance como garantía. Contra esa posición, el atacante pidió prestados 11,29 WBTC por un valor aproximado de 867.000 dólares.
El Bitcoin prestado se conectó a Ethereum, se cambió a ETH y luego se trasladó a través de Tornado Cash. Los datos on-chain mostraban 384 ETH, valorados en unos 822.000 dólares en ese momento, entrando en la mesa de mezclas.
El atacante sigue controlando 955 eBTC valorados en casi 73 millones de dólares sobre el papel. Esos tokens no están respaldados por reservas reales de Bitcoin.
Posteriormente, los investigadores de seguridad estimaron que el robo real realizado fue de unos 816.000 dólares porque la liquidez de Monad era demasiado superficial para que el atacante pudiera deshacerse de todo el suministro.
La falla de la clave privada desencadenó la brecha
Los primeros hallazgos apuntan a un fallo de seguridad operativa más que a un fallo en un contrato inteligente. Los desarrolladores que han seguido el exploit dijeron que el Protocolo Echo dependía de una única clave privada de administrador sin protección multisig, timelocks, mint caps ni límites de tasa de emisión.
Una vez que el atacante obtenía el rol de administrador, se otorgaba autoridad de acuñación y creaba el suministro de eBTC casi al instante.
El exploit puso de manifiesto otra debilidad en los sistemas de préstamo DeFi. Curvance aceptó el eBTC recién creado como garantía sin verificar la integridad de la oferta ni el origen del token antes de conceder préstamos.
Curvance luego pauso el mercado afectado. El protocolo afirmaba que su diseño de mercado aislado evitaba que los daños se extendieran a otros grupos.
Por otro lado, el cofundador de Monad, Keone Hon , afirmó que la blockchain de Monad en sí no se vio afectada por el exploit. El Protocolo Echo suspendió todas las transferencias entre cadenas mientras continúan las investigaciones.
El protocolo funciona como una plataforma de liquidez y rendimiento de Bitcoin que emite activos sintéticos de BTC como eBTC para su uso en aplicaciones DeFi.
Relacionado: La brecha de seguros DeFi deja expuestos miles de millones mientras los hackeos siguen aumentando
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
