比特币流动性聚合和收益基础设施层 Echo Protocol 在Monad区块链上的部署遭到攻击,攻击者铸造了 1,000 个未经授权的 eBTC,价值约 7700 万美元,其中约 816,000 美元最终通过混币器Tornado Cash 洗钱。
区块链安全公司 PeckShield指出了这起事件,并援引链上侦探 dcfgod 的说法,指出攻击者“铸造了 1k $eBTC ($7670 万美元),并利用测试流程,将 45 $eBTC ($345 万美元) 存入 Curvance”。
然后,该黑客以抵押品为担保借入了约 11.29 WBTC(867,700 美元),将WBTC桥接到以太坊,将其兑换成ETH,并将 384 ETH (约 821,700 美元)发送到 Tornado Cash。
Echo Protocol 在周二的一条推文中证实了此次安全漏洞,并表示其调查“表明该问题源于影响 Monad 部署的被盗用的管理员密钥”。
“根据目前的调查结果,Monad 损失了约 81.6 万美元。Monad 网络本身并未受到影响,目前仍在正常运行,”该团队表示,并补充说,他们“已成功夺回管理密钥的控制权,并销毁了攻击者持有的剩余 955 个 eBTC”。
Decrypt已联系 Echo Protocol 征求意见。
该漏洞利用遵循了困扰跨链协议的常见管理员密钥模式,即单个被泄露的凭证可以解锁整个部署中的铸币权限。
Echo 表示,该事件“似乎仅限于 Monad”,并且“没有证据表明Aptos也受到了损害”。
该团队指出, Aptos上的 aBTC 和 Monad 上的 eBTC 是独立的、不可桥接的资产,目前Aptos 的风险敞口仅限于 Echo 借贷市场和 Hyperion 流动性池中的约 71,000 美元,并且该链上没有确认的资金损失。
eBTC 是 Echo 在 Monad 上的Wrapped Bitcoin表示,而 aBTC 是其在Aptos上的对应物,两者均旨在将BTC流动性引入这些链上的DeFi应用程序。
Symbiotic 和智能合约安全公司 Statemind 的联合创始人 Misha Putiatin 告诉Decrypt ,随着协议越来越依赖链下组件,业界应该预料到会有更多此类事件发生。
“随着 DeFi 协议越来越依赖链下基础设施,我们可能会看到针对中心化密钥管理、数据库和运营基础设施的‘Web2.5’式攻击卷土重来,”普蒂亚廷说。
他称之为“平衡之举”,并表示与“完全无需许可的系统”相比,“管理更为复杂的系统”更容易受到社会工程和基础设施攻击。
Putiatin 表示,DeFi 协议的中心化和链下组件历来被视为“次要风险领域”,但他预计这种情况将会改变。
“我们可能会看到对运营基础设施、密钥管理和内部安全框架的更多关注,类似于在 2021 年漏洞利用周期之后智能合约审计成为标准的做法,”他说。
Echo 已暂停 Monad 部署的跨链功能,并完成了相关 Monad 合约的升级,“以限制受影响的操作并加强对敏感功能的控制”。
尽管没有观察到任何影响,但出于安全考虑, Aptos桥接服务已完全暂停,Echo Aptos Lending 也已暂停服务。
该团队表示,他们也在升级其 EVM 系列桥接部署,“以进一步加强跨链控制并降低运营风险”。
继THORChain和TrustedVolumes最近遭到攻击,以及上个月KelpDAO遭受的 2.93 亿美元基础设施相关攻击(据称是朝鲜Lazarus Group所为)之后,Echo Protocol 的漏洞进一步加剧了 DeFi 安全面临的压力。
Echo表示,它正在与生态系统合作伙伴和外部安全审查员一起,对受影响的 Monad 部署和相关桥接基础设施进行全面审查,包括管理员密钥泄露、合约权限、跨链控制和铸币控制。
