Hoe kon een aanvaller 1.000 ongeautoriseerde eBTC minten op Echo Protocol?

Het op Bitcoin gerichte DeFi-platform Echo Protocol heeft een exploit ondervonden nadat een aanvaller ongeveer 1.000 ongeautoriseerde eBTC-tokens had gemint op de Monad-deployment van het protocol.

Volgens blockchain-beveiligingsbedrijf PeckShield en on-chain analyticsplatform Lookonchain maakte de aanvaller maakte ongeveer 76,7 miljoen USD (ca. € 66,9 miljoen) aan synthetische Bitcoin-tokens voordat hij probeerde waarde te onttrekken via gedecentraliseerde leenmarkten.

Echo Protocol bevestigde later dat het een beveiligingsincident betrof dat de Echo-bridge op Monad trof en verklaarde dat alle cross-chain-transacties tijdens het onderzoek waren opgeschort.

Monad-medeoprichter Keone Hon heeft op X verduidelijkt dat het Monad-netwerk zelf normaal functioneerde en niet was gecompromitteerd.

Beveiligingsonderzoekers en blockchainontwikkelaars concludeerden later dat het incident, volgens ontwikkelaar “Marioo”, een operationele fout was die samenhing met gecompromitteerde admin-referenties en niet met een fout in de smart contractcode zelf.

Volgens de ontwikkelaar functioneerde het eBTC-contract zoals bedoeld, maar zwakke toegangscontroles stelden de aanvaller in staat administratieve rechten over te nemen.

Hoe de exploit zich voltrok

On-chain-onderzoekers zeiden dat de aanvaller zich eerst de DEFAULT_ADMIN_ROLE op Echo’s eBTC-contract toekende voordat hij zijn wallet de MINTER_ROLE verleende, waardoor het creëren van nieuwe tokens zonder onderpand mogelijk werd.

Nadat hij mint‑privileges had verkregen, zou de aanvaller zijn eigen admin-rechten hebben verwijderd om te voorkomen dat hij een zichtbare administratieve rol on-chain behield.

Met die controles in place mintte de aanvaller 1.000 eBTC-tokens met een papieren waarde van ongeveer 77 miljoen USD (ca. € 67,2 miljoen).

Beperkte liquiditeit binnen het Monad-ecosysteem verhinderde de aanvaller echter om het merendeel van de activa direct via gedecentraliseerde exchanges te converteren.

In plaats daarvan lieten door Onchain Lens gedeelde gegevens en Lookonchain zien dat de aanvaller 45 eBTC, ter waarde van ongeveer 3,5 miljoen USD (ca. € 3 miljoen), als onderpand deponeerde in het DeFi-leningenprotocol Curvance.

Tegen die deposito’s leende de aanvaller ongeveer 11.29 wrapped Bitcoin (WBTC) ter waarde van ongeveer $867,700.

Na het bridgen van de geleende WBTC naar Ethereum wisselde de aanvaller de activa in voor ETH en transfereerde volgens meerdere on-chain tracking-accounts ruwweg 384 tot 385 ETH naar de crypto-mixer Tornado Cash.

Lookonchain- en DeBank-gegevens wezen uit dat de aanvaller nog steeds 955 eBTC controleert ter waarde van ongeveer 73 miljoen USD (ca. € 63,7 miljoen), hoewel DefiPrime-oprichter Nick Sawinyh in een bericht schreef dat de resterende tokens feitelijk onbruikbaar waren omdat de DeFi-liquiditeitsdiepte van Monad de valse voorraad niet kon absorberen.

Marioo wees ook op meerdere beveiligingszwaktes die de impact van de aanval versterkten, waaronder het gebruik van een single-signature admin-rol, het ontbreken van een timelock-mechanisme, geen mintlimiet of rate limiter, en het ontbreken van validatiecontroles voor onderpand bij Curvance voor nieuw uitgegeven eBTC.

Protocollen ondernemen stappen om schade te beperken

Terwijl de exploit zich ontvouwde, zei Curvance dat het een “anomalie” in de Echo eBTC-markt had gedetecteerd en de getroffen leenmarkt had gepauzeerd terwijl het onderzoek doorging.

Het protocol verklaarde dat er geen aanwijzingen waren dat zijn eigen smart contracts waren geschonden, en voegde eraan toe dat de geïsoleerde marktarchitectuur verhinderde dat het zich naar andere leenpools verspreidde.

Volgens Hon schatten beveiligingsonderzoekers de gerealiseerde verliezen op ongeveer $816,000, ruim onder de papieren waarde van de ongeautoriseerde mint omdat het merendeel van de valse eBTC-voorraad niet kon worden geliquideerd.

Echo Protocol, dat zich richt op Bitcoin-liquiditeitsaggregatie, liquid staking, restaking en yieldgeneratie over meerdere chains, heeft nog niet bekendgemaakt hoe de admin-referenties zijn gecompromitteerd.

Het protocol gaf aan dat verdere updates via officiële kanalen zullen worden gedeeld naarmate het onderzoek vordert.

Het incident is toegevoegd aan een groeiende lijst van DeFi-exploits die sinds het begin van het jaar zijn geregistreerd.

Zoals eerder gerapporteerd door Invezz, werd de KelpDAO-bridgeinfrastructuur gecompromitteerd in een geavanceerde RPC-poisoning en distributed denial-of-service (DDoS)-aanval die resulteerde in een enorme 292 miljoen USD (ca. € 254,7 miljoen) exploit.