Como um atacante cunhou 1,000 eBTC não autorizados no Echo Protocol?

A plataforma DeFi focada em Bitcoin, Echo Protocol, sofreu uma exploração depois que um atacante cunhou cerca de 1,000 tokens eBTC não autorizados na implantação Monad do protocolo.

Segundo a empresa de segurança blockchain PeckShield e a plataforma de análise on-chain Lookonchain, o atacante criou cerca de 76,7 milhões USD (aprox. R$ 402,8 milhões) em tokens sintéticos de Bitcoin antes de tentar extrair valor por meio de mercados de empréstimo descentralizados.

O Echo Protocol confirmou posteriormente que estava investigando “um incidente de segurança que impactou a ponte Echo na Monad”, afirmando também que todas as transações cross-chain foram suspensas durante a investigação.

O cofundador da Monad, Keone Hon, esclareceu no X que a própria rede Monad estava operando normalmente e não havia sido comprometida.

Pesquisadores de segurança e desenvolvedores blockchain depois restringiram o incidente ao que o desenvolvedor “Marioo” descreveu como uma falha operacional ligada a credenciais administrativas comprometidas, em vez de um erro no código do smart contract em si. 

Segundo o desenvolvedor, o contrato eBTC funcionou conforme projetado, mas medidas fracas de controle de acesso permitiram que o atacante assumisse permissões administrativas.

Como a exploração ocorreu

Investigadores on-chain disseram que o atacante primeiro se atribuiu o DEFAULT_ADMIN_ROLE no contrato eBTC do Echo antes de conceder à sua carteira o MINTER_ROLE, o que permitiu a criação de novos tokens sem lastro. 

Após obter privilégios de mint, o atacante teria removido suas próprias permissões administrativas para evitar manter um papel administrativo visível on-chain.

Com esses controles em vigor, o explorador cunhou 1,000 tokens eBTC avaliados em aproximadamente 77 milhões USD (aprox. R$ 404,4 milhões) no papel. 

Contudo, a liquidez limitada em todo o ecossistema Monad impediu que o atacante convertesse a maior parte dos ativos diretamente por meio de exchanges descentralizadas.

Em vez disso, dados compartilhados pela Onchain Lens e pela Lookonchain mostraram que o atacante depositou 45 eBTC, avaliados em cerca de 3,5 milhões USD (aprox. R$ 18,1 milhões), no protocolo de empréstimo DeFi Curvance como colateral. 

Com base nesses depósitos, o atacante pegou emprestado aproximadamente 11.29 wrapped Bitcoin (WBTC), no valor de cerca de $867,700.

Após fazer bridge do WBTC emprestado para Ethereum, o explorador trocou os ativos por ETH e transferiu cerca de 384 a 385 ETH para o mixer Tornado Cash, segundo várias contas de rastreamento on-chain.

Dados da Lookonchain e da DeBank indicaram que o atacante ainda controla 955 eBTC, avaliados em torno de 73 milhões USD (aprox. R$ 383,4 milhões), embora o fundador da DefiPrime, Nick Sawinyh, tenha afirmado em um post que os tokens remanescentes são efetivamente inutilizáveis porque a profundidade de liquidez DeFi da Monad não podia absorver a oferta falsa.

Marioo também apontou várias fragilidades de segurança que ampliaram o impacto do ataque, incluindo o uso de um papel administrativo com assinatura única, a ausência de um mecanismo de timelock, ausência de limite (cap) ou limitador de taxa para mint e falta de verificações de sanidade do colateral na Curvance para eBTC recém-cunhado.

Protocolos agem para conter os danos

Enquanto a exploração ocorria, a Curvance disse ter detectado uma “anomalia” no mercado eBTC do Echo e pausou o mercado de empréstimo afetado enquanto as investigações prosseguiam. 

O protocolo afirmou que não havia indicação de que seus próprios smart contracts tivessem sido violados, acrescentando que sua arquitetura de mercado isolado impediu contágio para outros pools de empréstimo.

Segundo Hon, pesquisadores de segurança estimaram perdas realizadas em cerca de $816,000, substancialmente abaixo do valor no papel da cunhagem não autorizada porque a maior parte da oferta falsa de eBTC não pôde ser liquidada.

O Echo Protocol, que foca em agregação de liquidez de Bitcoin, liquid staking, restaking e geração de rendimento em múltiplas cadeias, ainda não divulgou como as credenciais administrativas foram comprometidas. 

O protocolo disse que novas atualizações seriam compartilhadas por canais oficiais à medida que a investigação avançar.

O incidente se somou a uma lista crescente de explorações DeFi registradas desde o início do ano.

Como já reportado pela Invezz, a infraestrutura de bridge da KelpDAO foi comprometida em um sofisticado envenenamento de RPC e ataque de negação de serviço distribuído (DDoS) que resultou em uma exploração massiva de 292 milhões USD (aprox. R$ 1,5 mil milhões).