Come ha fatto un attaccante a coniare 1,000 eBTC non autorizzati su Echo Protocol?

La piattaforma DeFi focalizzata su Bitcoin Echo Protocol ha subito un exploit dopo che un attaccante ha coniato circa 1,000 eBTC non autorizzati sul deployment Monad del protocollo.

Secondo la società di sicurezza blockchain PeckShield e la piattaforma di analytics on-chain Lookonchain, l'attaccante ha creato circa 76,7 milioni USD (circa 66,9 milioni €) di token Bitcoin sintetici prima di tentare di estrarre valore attraverso i mercati di prestito decentralizzati.

Echo Protocol ha poi confermato di indagare su “un incidente di sicurezza che impatta il bridge Echo su Monad”, aggiungendo che tutte le transazioni cross-chain sono state sospese durante l'indagine.

Keone Hon, cofondatore di Monad, ha chiarito su X che la rete Monad stava operando normalmente e non era stata compromessa.

Ricercatori di sicurezza e sviluppatori blockchain hanno poi ricondotto l'incidente a quanto lo sviluppatore “Marioo” ha descritto come un errore operativo legato a credenziali amministrative compromesse, piuttosto che a una falla nel codice del smart contract.

Secondo lo sviluppatore, il contratto eBTC ha funzionato come previsto, ma misure di controllo accessi deboli hanno permesso all'attaccante di assumere i permessi amministrativi.

Come si è svolto l'exploit

Gli investigatori on-chain hanno riferito che l'attaccante si è prima assegnato il DEFAULT_ADMIN_ROLE sul contratto eBTC di Echo prima di concedere al proprio wallet il MINTER_ROLE, cosa che ha abilitato la creazione di nuovi token senza copertura.

Dopo aver ottenuto i privilegi di minting, l'attaccante avrebbe rimosso i propri permessi amministrativi per evitare di mantenere un ruolo amministrativo visibile on-chain.

Con questi controlli in atto, l'attaccante ha coniato 1,000 eBTC per un valore sulla carta di circa 77 milioni USD (circa 67,2 milioni €).

Tuttavia, la limitata liquidità nell'ecosistema Monad ha impedito all'attaccante di convertire la maggior parte degli asset direttamente attraverso exchange decentralizzati.

Invece, i dati condivisi da Onchain Lens e Lookonchain hanno mostrato che l'attaccante ha depositato 45 eBTC, valutati circa 3,5 milioni USD (circa 3 milioni €), nel protocollo di lending DeFi Curvance come collaterale.

Contro quei depositi, l'attaccante ha preso in prestito circa 11.29 wrapped Bitcoin (WBTC) per un valore di circa $867,700.

Dopo aver trasferito gli WBTC su Ethereum tramite bridge, l'attaccante ha scambiato gli asset in ETH e ha trasferito circa 384–385 ETH nel mixer crittografico Tornado Cash, secondo diversi account di tracciamento on-chain.

I dati di Lookonchain e DeBank indicano che l'attaccante controlla ancora 955 eBTC per un valore di circa 73 milioni USD (circa 63,7 milioni €), sebbene il fondatore di DefiPrime, Nick Sawinyh, abbia detto in un post che i token rimanenti erano di fatto inutilizzabili perché la profondità di liquidità DeFi di Monad non poteva assorbire l'offerta fasulla.

Marioo ha inoltre indicato diverse debolezze di sicurezza che hanno amplificato l'impatto dell'attacco, tra cui l'uso di un ruolo admin a firma singola, l'assenza di un meccanismo di timelock, la mancanza di un tetto o di un rate limiter per il minting e l'assenza di adeguati controlli di coerenza sul collaterale di Curvance per gli eBTC appena coniati.

I protocolli intervengono per contenere i danni

Durante lo svolgimento dell'exploit, Curvance ha dichiarato di aver rilevato un'anomalia nel mercato eBTC di Echo e ha sospeso il mercato di lending interessato mentre proseguivano le indagini.

Il protocollo ha affermato che non vi sono indicazioni di una violazione dei propri smart contract, aggiungendo che la sua architettura a mercati isolati ha impedito effetti a catena verso altri pool di prestito.

Secondo Hon, i ricercatori di sicurezza hanno stimato perdite realizzate intorno a $816,000, sostanzialmente inferiori al valore sulla carta della mint non autorizzata perché la maggior parte dell'offerta di eBTC falsi non poteva essere liquidata.

Echo Protocol, che si concentra sull'aggregazione di liquidità Bitcoin, liquid staking, restaking e generazione di rendimento su più chain, non ha ancora divulgato come siano state compromesse le credenziali amministrative.

Il protocollo ha detto che ulteriori aggiornamenti saranno condivisi tramite i canali ufficiali man mano che l'indagine procede.

L'incidente si aggiunge a una lista crescente di attacchi DeFi registrati dall'inizio dell'anno.

Come precedentemente riportato da Invezz, l'infrastruttura del bridge di KelpDAO è stata compromessa in un avanzato avvelenamento RPC e in un attacco distributed denial-of-service (DDoS) che ha portato a un exploit massiccio da 292 milioni USD (circa 254,7 milioni €).