- Злоумышленник по протоколу Echo отчекивал 1 000 поддельных eBTC на сумму 76,6 миллиона долларов.
- Атака была вызвана тем, что хакеры скомпрометировали приватный ключ администратора.
- Исследователи ценных бумаг оценили фактические убытки около $816,000 из-за слабой ликвидности.
Протокол Bitcoin DeFi Echo Protocol подвергся крупному эксплойту после того, как злоумышленник получил контроль над админским приватным ключом протокола и выпустил 1 000 несанкционированных eBTC на блокчейне Monad.
Стоимость поддельного монетного двора составляла около 76,64 миллиона долларов. Большинство токенов остаются в кошельке злоумышленника из-за слабой ликвидности на рынках DeFi, основанных на Monad.
Этот эксплойт дополняет растущую волну DeFi-атак в этом месяце. Мэй уже зафиксировал как минимум 14 отдельных криптовзломов через протоколы и мосты.
Злоумышленник использовал поддельный eBTC в качестве залога по кредиту
Следователи блокчейна отслеживали перемещения злоумышленника вскоре после появления эксплойта. Кошелёк внес 45 eBTC, стоимостью около 3,45 миллиона долларов, в кредитный протокол Curvance в качестве залога. Против этой позиции злоумышленник занял 11,29 WBTC на сумму примерно $867,000.
Заимствованный биткоин был переведён в Ethereum, затем обменян на ETH, а затем перемещён через Tornado Cash. Данные на блокчейне показали, что в микшер поступает 384 ETH, стоимость около $822,000 на тот момент.
Злоумышленник по-прежнему контролирует 955 eBTC, оцениваемых на бумаге почти в 73 миллиона долларов. Эти токены не обеспечены реальными резервами Биткоина.
Исследователи по безопасности позже оценили фактическую кражу примерно в 816 000 долларов, поскольку ликвидность Monad была слишком малой, чтобы злоумышленник мог полностью продать её.
Сбой приватного ключа стал причиной взлома
Ранние данные указывают на сбой операционной безопасности, а не на недостаток смарт-контракта. Разработчики, отслеживающие эксплойт, заявили, что Echo Protocol опирался на один администраторский приватный ключ без мультиподписной защиты, таймлоков, лимитов mint или ограничений по скорости выпуска.
После того как злоумышленник получил роль администратора, он предоставил себе полномочия на чеканье и почти мгновенно создал поставку eBTC.
Эксплойт выявил ещё одну слабость в системах кредитования DeFi. Curvance приняла недавно отчеканенный eBTC в качестве залога без проверки целостности предложения или происхождения токена перед выдачей кредитов.
Позже Curvance приостановил затронутый рынок. Протокол указывал, что его изолированная рыночная конструкция предотвращает распространение ущерба в другие пулы.
С другой стороны, сооснователь Monad Кеоне Хон заявил, что сам блокчейн Monad не пострадал от эксплойта. Echo Protocol приостановил все кросс-чейневые передачи на момент проведения расследования.
Протокол работает как платформа для ликвидности и доходности Биткоина, которая выпускает синтетические BTC-активы, такие как eBTC, для использования в DeFi-приложениях.
Связано: Разрыв в страховании DeFi оставляет миллиарды уязвимыми, а количество взломов продолжает расти
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
