Comment un attaquant a-t-il créé 1 000 eBTC non autorisés sur Echo Protocol ?

La plateforme DeFi axée sur Bitcoin Echo Protocol a subi une attaque après qu'un attaquant a créé environ 1 000 jetons eBTC non autorisés sur le déploiement Monad du protocole.

Selon la société de sécurité blockchain PeckShield et la plateforme d'analyse on-chain Lookonchain, le l'attaquant a créé environ 76,7 millions USD (env. 66,9 millions €) de jetons Bitcoin synthétiques avant de tenter d'extraire de la valeur via les marchés de prêt décentralisés.

Echo Protocol a ensuite confirmé qu'il enquêtait sur « un incident de sécurité impactant le pont Echo sur Monad », précisant que toutes les transactions inter-chaînes avaient été suspendues pendant l'enquête.

Keone Hon, cofondateur de Monad, a précisé sur X que le réseau Monad lui-même fonctionnait normalement et n'avait pas été compromis.

Des chercheurs en sécurité et des développeurs blockchain ont ensuite circonscrit l'incident à ce que le développeur « Marioo » a décrit comme une défaillance opérationnelle liée à des identifiants administrateur compromis, plutôt qu'à une faille dans le code des contrats intelligents.

Selon le développeur, le contrat eBTC a fonctionné comme prévu, mais des mesures de contrôle d'accès faibles ont permis à l'attaquant de prendre le contrôle des permissions administratives.

Déroulement de l'exploit

Les enquêteurs on-chain ont indiqué que l'attaquant s'est d'abord attribué le DEFAULT_ADMIN_ROLE sur le contrat eBTC d'Echo avant d'octroyer à son portefeuille le MINTER_ROLE, ce qui a permis la création de nouveaux jetons sans couverture.

Après avoir obtenu les privilèges de mint, l'attaquant aurait ensuite retiré ses propres permissions administratives afin de ne pas conserver un rôle administratif visible on-chain.

Avec ces contrôles en place, l'exploiteur a frappé 1 000 jetons eBTC d'une valeur théorique d'environ 77 millions USD (env. 67,2 millions €).

Une liquidité limitée au sein de l'écosystème Monad a cependant empêché l'attaquant de convertir la plupart des actifs directement via des échanges décentralisés.

Au lieu de cela, des données partagées par Onchain Lens et Lookonchain montrent que l'attaquant a déposé 45 eBTC, évalués à environ 3,5 millions USD (env. 3 millions €), dans le protocole de prêt DeFi Curvance en guise de collatéral.

Contre ces dépôts, l'attaquant a emprunté environ 11,29 wrapped Bitcoin (WBTC) pour une valeur d'environ 867 700 $.

Après avoir ponté les WBTC empruntés vers Ethereum, l'exploiteur a swapé les actifs en ETH et transféré environ 384 à 385 ETH vers le mixeur crypto Tornado Cash, selon plusieurs comptes de tracking on-chain.

Les données de Lookonchain et DeBank indiquent que l'attaquant contrôle encore 955 eBTC d'une valeur d'environ 73 millions USD (env. 63,7 millions €), bien que Nick Sawinyh, fondateur de DefiPrime, ait indiqué dans un post que les jetons restants étaient de fait inutilisables parce que la profondeur de liquidité DeFi de Monad ne pouvait pas absorber l'offre factice.

Marioo a également pointé plusieurs faiblesses de sécurité ayant amplifié l'impact de l'attaque, notamment l'utilisation d'un rôle admin à signature unique, l'absence d'un mécanisme de timelock, l'absence de plafond de mint ou de limiteur de débit, et le manque de vérifications de cohérence du collatéral sur Curvance pour les eBTC fraîchement créés.

Les protocoles s'efforcent de contenir les dégâts

Au fur et à mesure de l'exploitation, Curvance a déclaré avoir détecté une « anomalie » sur le marché eBTC d'Echo et a mis en pause le marché de prêt affecté pendant que les enquêtes se poursuivaient.

Le protocole a indiqué qu'il n'y avait aucune indication que ses propres contrats intelligents aient été compromis, ajoutant que son architecture de marché isolée empêchait la propagation vers d'autres pools de prêt.

Selon Hon, des chercheurs en sécurité estiment les pertes réalisées à environ 816 000 $, nettement inférieures à la valeur théorique du mint non autorisé parce que la majeure partie de l'offre eBTC factice n'a pas pu être liquidée.

Echo Protocol, qui se concentre sur l'agrégation de liquidité Bitcoin, le liquid staking, le restaking et la génération de rendement sur plusieurs chaînes, n'a pas encore expliqué comment les identifiants administrateur ont été compromis.

Le protocole a indiqué que d'autres mises à jour seraient partagées via les canaux officiels au fur et à mesure de l'avancement de l'enquête.

L'incident s'ajoute à une liste croissante d'exploits DeFi recensés depuis le début de l'année.

Comme l'a précédemment rapporté Invezz, l'infrastructure du pont KelpDAO a été compromise lors d'un empoisonnement avancé des RPC et d'une attaque par déni de service distribué (DDoS) qui a abouti à un exploit massif de 292 millions USD (env. 254,7 millions €).