Miten hyökkääjä loi 1 000 luvattomia eBTC:tä Echo Protocolissa?

Bitcoiniin keskittynyt DeFi-alusta Echo Protocol koki hyväksikäytön, kun hyökkääjä löi liikkeeseen noin 1 000 luvattomasti eBTC-tokenia protokollan Monad-käyttöönotossa.

Lohkoketjuturvallisuusyritys PeckShieldin ja on-chain-analytiikkapalvelu Lookonchainin mukaan hyökkääjä loi noin 76,7 million USD (approx. 66,9 million €) arvoiset synteettiset Bitcoin-tokenit ennen kuin yritti realisoida arvoa hajautetuissa lainamarkkinoissa.

Echo Protocol vahvisti myöhemmin tutkivansa "Echo-siltaa Monadissa koskevaa tietoturvatapausta" ja ilmoitti samalla, että kaikki ketjujenväliset siirrot oli keskeytetty tutkinnan ajaksi.

Monadin perustaja Keone Hon selvensi X:ssä, että Monad-verkko itsessään toimi normaalisti eikä ollut vaarantunut.

Turvallisuustutkijat ja lohkoketjukehittäjät rajasivat tapauksen myöhemmin kehittäjä "Marioo":n kuvaamaan operatiiviseen epäonnistumiseen, joka liittyi vaarantuneisiin ylläpitäjätunnuksiin eikä älysopimuskoodin virheeseen.

Kehittäjän mukaan eBTC-sopimus toimi odotetusti, mutta heikko pääsynhallinta mahdollisti hyökkääjän ottamaan hallintaoikeudet.

Miten hyväksikäyttö eteni

On-chain-tutkijat kertovat, että hyökkääjä ensin myönsi itselleen DEFAULT_ADMIN_ROLE-roolin Echo’n eBTC-sopimuksessa ennen kuin antoi lompakolleen MINTER_ROLE-oikeuden, mikä mahdollisti uusien, taustatukena olemattomien tokenien luomisen.

Saatuaan tokenien luontioikeudet hyökkääjä raportoidusti poisti omat ylläpitäjäoikeutensa välttääkseen näkyvää hallinnollista roolia ketjussa.

Näiden kontrollien ansiosta hyökkääjä löi liikkeeseen 1 000 eBTC-tokenia, joiden paperiarvo oli noin 77 million USD (approx. 67,2 million €). 

Kuitenkin Monad-ekosysteemin rajallinen likviditeetti esti hyökkääjää muuntamasta suurinta osaa varoista suoraan hajautetuissa pörsseissä.

Sen sijaan Onchain Lensin jakamat tiedot ja Lookonchain osoittivat, että hyökkääjä talletti 45 eBTC:tä, arvoltaan noin 3,5 million USD (approx. 3 million €), DeFi-lainaprotokolli Curvanceen vakuudeksi. 

Näitä talletuksia vastaan hyökkääjä lainasi noin 11,29 wrapped Bitcoinia (WBTC), arvoltaan noin $867,700.

Lainatun WBTC:n bridgauksen jälkeen Ethereumille hyökkääjä vaihtoi varat ETH:ksi ja siirsi noin 384–385 ETH:tä kryptosekoittimeen Tornado Cash useiden on-chain-seurantatilien mukaan.

Lookonchainin ja DeBankin tiedot osoittivat, että hyökkääjä hallitsee edelleen 955 eBTC:tä, arvoltaan noin 73 million USD (approx. 63,7 million €), vaikka DefiPrimein perustaja Nick Sawinyh totesi viestissään, että jäljellä olevat tokenit olivat käytännössä käyttökelvottomia, koska Monadin DeFi-likviditeetti ei pystynyt absorboimaan väärennettyä tarjontaa.

Marioo viittasi myös useisiin turvallisuuspuutteisiin, jotka voimistivat hyökkäyksen vaikutuksia, mukaan lukien yhden allekirjoituksen ylläpitäjäroolin käyttö, timelock-mekanismin puuttuminen, minttauskaton tai nopeusrajoittimen puute sekä riittämättömät vakuuden kelpoisuustarkistukset Curvancessa juuri luoduille eBTC:ille.

Protokollat pyrkivät rajoittamaan vahinkoja

Hyväksikäytön edetessä Curvance kertoi havaitsevansa "anomalian" Echo eBTC -markkinassa ja keskeytti kyseisen lainamarkkinan tutkinnan ajaksi. 

Protokolla totesi, ettei viitteitä sen omien älysopimusten murtautumisesta ollut, ja lisäsi, että sen eristetty markkinarakenne esti valumista muihin lainapoolleihin.

Honin mukaan turvallisuustutkijat arvioivat realisoituneiden tappioiden olevan noin $816,000, mikä on selvästi alle luvattoman minttauksen paperiarvon, koska suurinta osaa väärennetystä eBTC-tarjonnasta ei voitu realisoida.

Echo Protocol, joka keskittyy Bitcoin-likviditeetin aggregointiin, liquid stakingiin, restakingiin ja tuoton luomiseen useilla ketjuilla, ei ole vielä paljastanut, miten ylläpitäjätunnukset vaarantuivat. 

Protokolla kertoi, että lisäpäivityksiä jaetaan virallisten kanavien kautta tutkinnan edetessä.

Tapaus on lisäys vuoden alusta rekisteröityjen DeFi-hyökkäysten kasvavaan listaan.

Kuten aiemmin Invezzin raportoimana, KelpDAO-sillan infrastruktuuri vaarantui edistyneessä RPC-poisoning- ja palvelunestohyökkäyksessä (DDoS), joka johti massiiviseen 292 million USD (approx. 254,7 million €) hyväksikäyttöön.