比特幣流動性協議 Echo Protocol 在 Monad 鏈上的部署遭遇安全事件。攻擊者先未授權鑄造 1000 枚 eBTC,再以其中一部分作為抵押借出資產並跨鏈轉移。項目方表示,按目前調查結果,實際受影響金額約為 81.6 萬美元。
攻擊路徑涉及鑄造與跨鏈
鏈上安全機構 PeckShield 引用研究員資訊稱,攻擊者鑄造了約價值 7670 萬美元的 eBTC,並將其中 45 枚 eBTC 存入 Curvance。隨後,攻擊者借出約 11.29 枚 WBTC,轉至以太坊後換成 ETH,最終將 384 枚 ETH 轉入 Tornado Cash。
Echo Protocol 隨後在社交平台確認,問題源於影響 Monad 部署的管理密鑰被攻破。團隊稱,Monad 網絡本身未受影響,仍在正常運行。
項目方稱已收回管理權限
Echo Protocol 表示,團隊已重新取得管理密鑰控制權,並銷毀攻擊者手中剩餘的 955 枚 eBTC。項目方同時強調,這次事件目前看僅限於 Monad 部署,沒有發現 Aptos 側遭入侵的證據。
項目方還說明,Monad 上的 eBTC 與 Aptos 上的 aBTC 是兩種獨立資產,二者不能直接橋接。當前 Aptos 側風險敞口約為 7.1 萬美元,分佈在 Echo 借貸市場和 Hyperion 流動性池中,暫未確認出現資金損失。
跨鏈功能已暫停
作為應急措施,Echo Protocol 已暫停 Monad 部署的跨鏈功能,並完成相關合約升級,以限制受影響操作並加強敏感權限控制。儘管尚未發現 Aptos 側異常,團隊仍暫停了 Aptos 橋接功能,並中止 Echo Aptos Lending 服務。
The project team also stated that it is upgrading its EVM series bridge deployment to further enhance cross-chain control and reduce operational risk.
此事件再次暴露了 DeFi 協議對鏈下基礎設施和中心化密鑰管理的依賴。近期,THORChain、TrustedVolumes 及 KelpDAO 也相繼出現安全事件,DeFi 協議的運維與權限管理風險再度受到關注。