Bitcoin likidite protokolü Echo Protocol, Monad zincirindeki dağıtım sırasında bir güvenlik olayı yaşadı. Saldırgan, önce 1.000 eBTC'yi yetkisiz şekilde dökümden çıkarttı, ardından bunların bir kısmını teminat olarak kullanarak varlıklar ödünç aldı ve bunları çapraz zincirle taşıdı. Proje ekibi, şu anki araştırmalara göre gerçek etkilenen tutarın yaklaşık 816.000 ABD doları olduğunu belirtti.
Saldırı yolu, dövüş ve çapraz zincirleme içerir.
Zincir üzerinde güvenlik kuruluşu PeckShield, araştırmacı bilgilerine dayanarak, saldırganın yaklaşık 76,7 milyon dolar değerinde eBTC ürettiğini ve bunun 45 tanesini Curvance'e yatırdığını bildirdi. Daha sonra saldırgan, yaklaşık 11,29 WBTC kredi aldı, bunları Ethereum'a transfer ederek ETH'ye çevirdi ve nihayetinde 384 ETH'yi Tornado Cash'e aktardı.
Echo Protocol, sosyal medya platformlarında sorunun, Monad dağıtımını etkileyen yönetim anahtarının ele geçirilmesinden kaynaklandığını doğruladı. Takım, Monad ağına herhangi bir etki olmadığını ve ağın normal şekilde çalışmaya devam ettiğini belirtti.
Proje sahibi, yönetim yetkilerini geri aldığını açıkladı.
Echo Protocol, ekibin yönetim anahtarının kontrolünü yeniden ele geçirdiğini ve saldırganın elinde kalan 955 eBTC'nin imha edildiğini açıkladı. Proje ekibi, olayın şu ana kadar Monad dağıtımına sınırlı olduğunu ve Aptos tarafında bir sızıntı kanıtına rastlanmadığını vurguladı.
Proje ekibi, Monad üzerindeki eBTC'nin Aptos üzerindeki aBTC'den farklı iki bağımsız varlık olduğunu ve bunların doğrudan köprülenemeyeceğini belirtti. Şu anda Aptos tarafındaki maruziyet, Echo kredi pazarında ve Hyperion likidite havuzunda yaklaşık 71.000 dolar olarak dağılmıştır ve şu ana kadar herhangi bir fon kaybı doğrulanmamıştır.
Çapraz zincir işlevi askıya alınmıştır
Acil önlem olarak Echo Protocol, Monad dağıtımının çapraz zincir işlevini durdurdu ve etkilenen işlemleri sınırlamak ile hassas izin kontrollerini güçlendirmek için ilgili sözleşmeleri yükseltti. Aptos tarafında herhangi bir anomali tespit edilmese de, ekip Aptos köprü işlevini durdurdu ve Echo Aptos Kredi hizmetini iptal etti.
Proje ekibi, çapraz zincir kontrolünü güçlendirmek ve operasyonel riskleri azaltmak için EVM köprü dağıtımını yükseltiyor.
Bu olay, DeFi protokollerinin dış altyapı ve merkezileştirilmiş anahtar yönetimi üzerindeki bağımlılığını tekrar ortaya koydu. Son zamanlarda THORChain, TrustedVolumes ve KelpDAO da sırayla güvenlik ihlalleri yaşadı ve DeFi protokollerinin operasyonel ve yetki yönetimi riskleri yeniden dikkat çekti.