比特幣流動性聚合和收益基礎設施層 Echo Protocol 在Monad區塊鏈上的部署遭到攻擊,攻擊者鑄造了 1,000 個未經授權的 eBTC,價值約 7700 萬美元,其中約 816,000 美元最終通過混幣器Tornado Cash 洗錢。
區塊鏈安全公司 PeckShield指出了這起事件,並援引鏈上偵探 dcfgod 的說法,指出攻擊者“鑄造了 1k $eBTC ($7670 萬美元),並利用測試流程,將 45 $eBTC ($345 萬美元) 存入 Curvance”。
然後,該黑客以抵押品為擔保借入了約 11.29 WBTC(867,700 美元),將WBTC橋接到以太坊,將其兌換成ETH,並將 384 ETH (約 821,700 美元)發送到 Tornado Cash。
Echo Protocol 在週二的一條推文中證實了此次安全漏洞,並表示其調查“表明該問題源於影響 Monad 部署的被盜用的管理員密鑰”。
“根據目前的調查結果,Monad 損失了約 81.6 萬美元。Monad 網絡本身並未受到影響,目前仍在正常運行,”該團隊表示,並補充說,他們“已成功奪回管理密鑰的控制權,並銷燬了攻擊者持有的剩餘 955 個 eBTC”。
Decrypt已聯繫 Echo Protocol 徵求意見。
該漏洞利用遵循了困擾跨鏈協議的常見管理員密鑰模式,即單個被洩露的憑證可以解鎖整個部署中的鑄幣權限。
Echo 表示,該事件“似乎僅限於 Monad”,並且“沒有證據表明Aptos也受到了損害”。
該團隊指出, Aptos上的 aBTC 和 Monad 上的 eBTC 是獨立的、不可橋接的資產,目前Aptos 的風險敞口僅限於 Echo 借貸市場和 Hyperion 流動性池中的約 71,000 美元,並且該鏈上沒有確認的資金損失。
eBTC 是 Echo 在 Monad 上的Wrapped Bitcoin表示,而 aBTC 是其在Aptos上的對應物,兩者均旨在將BTC流動性引入這些鏈上的DeFi應用程序。
Symbiotic 和智能合約安全公司 Statemind 的聯合創始人 Misha Putiatin 告訴Decrypt ,隨著協議越來越依賴鏈下組件,業界應該預料到會有更多此類事件發生。
“隨著 DeFi 協議越來越依賴鏈下基礎設施,我們可能會看到針對中心化密鑰管理、數據庫和運營基礎設施的‘Web2.5’式攻擊捲土重來,”普蒂亞廷說。
他稱之為“平衡之舉”,並表示與“完全無需許可的系統”相比,“管理更為複雜的系統”更容易受到社會工程和基礎設施攻擊。
Putiatin 表示,DeFi 協議的中心化和鏈下組件歷來被視為“次要風險領域”,但他預計這種情況將會改變。
“我們可能會看到對運營基礎設施、密鑰管理和內部安全框架的更多關注,類似於在 2021 年漏洞利用週期之後智能合約審計成為標準的做法,”他說。
Echo 已暫停 Monad 部署的跨鏈功能,並完成了相關 Monad 合約的升級,“以限制受影響的操作並加強對敏感功能的控制”。
儘管沒有觀察到任何影響,但出於安全考慮, Aptos橋接服務已完全暫停,Echo Aptos Lending 也已暫停服務。
該團隊表示,他們也在升級其 EVM 系列橋接部署,“以進一步加強跨鏈控制並降低運營風險”。
繼THORChain和TrustedVolumes最近遭到攻擊,以及上個月KelpDAO遭受的 2.93 億美元基礎設施相關攻擊(據稱是朝鮮Lazarus Group所為)之後,Echo Protocol 的漏洞進一步加劇了 DeFi 安全面臨的壓力。
Echo表示,它正在與生態系統合作伙伴和外部安全審查員一起,對受影響的 Monad 部署和相關橋接基礎設施進行全面審查,包括管理員密鑰洩露、合約權限、跨鏈控制和鑄幣控制。
