Hvordan mintet en angriper 1 000 uautoriserte eBTC på Echo Protocol?

Bitcoin-fokuserte DeFi-plattformen Echo Protocol har blitt utsatt for et angrep etter at en angriper mintet omtrent 1 000 uautoriserte eBTC-tokener på protokollens Monad-distribusjon.

Ifølge blockchain-sikkerhetsselskapet PeckShield og on-chain-analyseplattformen Lookonchain skapte angriperen rundt 76,7 millioner USD (ca. 750,1 millioner kr) i syntetiske Bitcoin-tokener før vedkommende forsøkte å hente ut verdi gjennom desentraliserte utlånsmarkeder.

Echo Protocol bekreftet senere at de etterforsket «en sikkerhetshendelse som berører Echo-broen på Monad», og opplyste samtidig at alle krysskjede-transaksjoner var suspendert under etterforskningen.

Monad-medgründer Keone Hon presiserte på X at Monad-nettverket i seg selv opererte normalt og ikke var kompromittert.

Sikkerhetsforskere og blockchain-utviklere avgrenset senere hendelsen til det utvikleren «Marioo» beskrev som en operasjonell svikt knyttet til kompromitterte administratorlegitimasjoner, ikke en feil i selve smartkontraktskoden.

Ifølge utvikleren fungerte eBTC-kontrakten som ment, men svake tilgangskontroller gjorde det mulig for angriperen å overta administrative rettigheter.

Slik utspilte utnyttelsen seg

On-chain-etterforskere sa at angriperen først tilordnet seg DEFAULT_ADMIN_ROLE på Echos eBTC-kontrakt før vedkommende ga sin wallet MINTER_ROLE, noe som gjorde det mulig å opprette nye token uten dekning.

Etter å ha sikret seg mint-rettigheter fjernet angriperen angivelig sine egne admin-rettigheter for å unngå å sitte igjen med en synlig administrativ rolle on-chain.

Med disse kontrollene på plass mintet angriperen 1 000 eBTC-tokener verdt omtrent 77 millioner USD (ca. 753,1 millioner kr) på papiret. 

Begrenset likviditet i Monad-økosystemet forhindret imidlertid angriperen fra å konvertere mesteparten av eiendelene direkte gjennom desentraliserte børser.

I stedet viste data delt av Onchain Lens og Lookonchain at angriperen satte inn 45 eBTC, verdsatt til omtrent 3,5 millioner USD (ca. 33,7 millioner kr), i DeFi-utlånsprotokollen Curvance som sikkerhet. 

Mot disse innskuddene lånte angriperen omtrent 11,29 wrapped Bitcoin (WBTC), verdt cirka $867,700.

Etter å ha bridget de lånte WBTC til Ethereum byttet angriperen dem til ETH og overførte omlag 384–385 ETH til kryptomikseren Tornado Cash, ifølge flere on-chain-sporingskontoer.

Lookonchain- og DeBank-data indikerte at angriperen fortsatt kontrollerer 955 eBTC verdt rundt 73 millioner USD (ca. 713,9 millioner kr), selv om DefiPrime-grunnlegger Nick Sawinyh skrev i et innlegg at de gjenværende tokenene i praksis var ubrukelige fordi Monads DeFi-likviditetsdybde ikke kunne absorbere den falske tilførselen.

Marioo pekte også på flere sikkerhetssvakheter som forsterket angrepets effekt, inkludert bruk av en adminrolle med enkeltstående signatur, fravær av en timelock-mekanisme, ingen øvre grense for minting eller rate limiter, og mangel på sanity-sjekker for sikkerhet på Curvance for ny-mintet eBTC.

Protokoller iverksetter tiltak for å begrense skaden

Mens utnyttelsen pågikk opplyste Curvance at de oppdaget en «anomalitet» i Echo eBTC-markedet og satte det berørte utlånsmarkedet på pause mens etterforskningen pågikk. 

Protokollen opplyste at det ikke var noen indikasjon på at egne smartkontrakter var brutt, og la til at den isolerte markedsarkitekturen hindret smitte til andre utlånsbassenger.

Ifølge Hon anslo sikkerhetsforskere realiserte tap til rundt $816,000, betydelig under papirtaksten av den uautoriserte minten fordi mesteparten av den falske eBTC-tilførselen ikke kunne likvideres.

Echo Protocol, som fokuserer på Bitcoin-likviditetsaggregasjon, liquid staking, restaking og avkastningsgenerering på tvers av flere kjeder, har ennå ikke opplyst hvordan admin-legitimasjonen ble kompromittert. 

Protokollen sa at ytterligere oppdateringer vil bli delt gjennom offisielle kanaler etter hvert som etterforskningen skrider frem.

Hendelsen er lagt til en voksende liste over DeFi-angrep registrert siden årets begynnelse.

Som tidligere rapportert av Invezz, ble KelpDAOs bridge-infrastruktur kompromittert i et avansert RPC-poisoning- og distribuert tjenestenektangrep (DDoS) som resulterte i et massivt 292 millioner USD (ca. 2,9 milliarder kr)-utnyttelse.