Hvordan mintede en angriber 1,000 uautoriserede eBTC på Echo Protocol?

Den Bitcoin-fokuserede DeFi-platform Echo Protocol har været udsat for en udnyttelse, efter at en angriber mintede cirka 1,000 uautoriserede eBTC-tokens på protokollens Monad-udrulning.

Ifølge blockchain-sikkerhedsfirmaet PeckShield og on-chain-analytikplatformen Lookonchain oprettede angriberen omkring 76,7 millioner USD (ca. 499,9 millioner kr.) i syntetiske Bitcoin-tokens, før vedkommende forsøgte at udvinde værdi gennem decentraliserede lånemarkeder.

Echo Protocol bekræftede senere, at de undersøger “en sikkerhedshændelse, der påvirker Echo-broen på Monad,” og oplyste samtidig, at alle tværkædetransaktioner var sat på pause under efterforskningen.

Monad-medstifter Keone Hon har på X præciseret, at Monad-netværket som sådan fungerede normalt og ikke var blevet kompromitteret.

Sikkerhedsforskere og blockchain-udviklere indsnævrede senere hændelsen til det, som udvikleren “Marioo” beskrev som en operationel fejl forbundet med kompromitterede admin-legitimationsoplysninger frem for en fejl i selve smartkontraktkoden. 

Ifølge udvikleren fungerede eBTC-kontrakten som tilsigtet, men svage adgangskontrolforanstaltninger gjorde det muligt for angriberen at overtage administrative rettigheder.

Sådan forløb udnyttelsen

On-chain-efterforskere oplyste, at angriberen først tildelte sig selv DEFAULT_ADMIN_ROLE på Echos eBTC-kontrakt, før vedkommende gav deres wallet MINTER_ROLE, hvilket muliggjorde oprettelsen af nye tokens uden dækning. 

Efter at have sikret sig minting-privilegier fjernede angriberen angiveligt sine egne admin-rettigheder for at undgå at bevare en synlig administrativ rolle on-chain.

Med de kontroller på plads mintede angriberen 1,000 eBTC-tokens med en bogført værdi på cirka 77 millioner USD (ca. 501,8 millioner kr.). 

Begrænset likviditet i Monad-økosystemet forhindrede dog angriberen i at konvertere størstedelen af aktiverne direkte via decentraliserede børser.

I stedet viste data delt af Onchain Lens og Lookonchain, at angriberen indsatte 45 eBTC, værdisat til omkring 3,5 millioner USD (ca. 22,5 millioner kr.), som sikkerhed i DeFi-låneprotokollen Curvance. 

Mod disse indskud lånte angriberen cirka 11.29 wrapped Bitcoin (WBTC) til en værdi af omkring $867,700.

Efter at have overført de lånte WBTC til Ethereum via en bridge, vekslede angriberen aktiverne til ETH og overførte cirka 384 til 385 ETH til mixer-tjenesten Tornado Cash, ifølge flere on-chain-trackingkonti.

Lookonchain- og DeBank-data indikerede, at angriberen stadig kontrollerer 955 eBTC til en værdi af omkring 73 millioner USD (ca. 475,8 millioner kr.), selvom DefiPrime-grundlægger Nick Sawinyh i et opslag skrev, at de resterende tokens reelt var ubrugelige, fordi Monads DeFi-likviditetsdybde ikke kunne absorbere den falske forsyning.

Marioo pegede også på flere sikkerhedssvagheder, der forstærkede angrebets konsekvenser, herunder brugen af en adminrolle baseret på enkelt signatur, fraværet af en tidslås (timelock), ingen loft for minting eller ratebegrænsning, samt manglende valideringskontroller af sikkerhedsstillelse på Curvance for ny-mintede eBTC.

Protokoller handler for at begrænse skaden

Mens udnyttelsen forløb, oplyste Curvance, at de opdagede en “anomalie” i Echo eBTC-markedet og satte det berørte lånemarked på pause, mens efterforskningen fortsatte. 

Protokollen oplyste, at der ikke var indikationer på, at dens egne smartkontrakter var blevet brudt, og tilføjede, at dens isolerede markedsarkitektur forhindrede spild over i andre lånepuljer.

Ifølge Hon anslog sikkerhedsforskere realiserede tab til cirka $816,000, væsentligt under den bogførte værdi af den uautoriserede mint, fordi størstedelen af den falske eBTC-forsyning ikke kunne likvideres.

Echo Protocol, som fokuserer på Bitcoin-likviditetsaggregation, liquid staking, restaking og yield-generering på tværs af flere kæder, har endnu ikke offentliggjort, hvordan admin-legitimationsoplysningerne blev kompromitteret. 

Protokollen oplyste, at yderligere opdateringer ville blive delt via officielle kanaler, efterhånden som efterforskningen skrider frem.

Hændelsen har føjet sig til en voksende liste over DeFi-udnyttelser registreret siden årets begyndelse.

Som tidligere rapporteret af Invezz, blev KelpDAO's bridge-infrastruktur kompromitteret i et avanceret RPC-forgiftnings- og distribueret tjenestenægtelsesangreb (DDoS), som resulterede i en massiv 292 millioner USD (ca. 1,9 milliarder kr.)-udnyttelse.