Hur präglade en angripare 1 000 obehöriga eBTC på Echo Protocol?

Bitcoininriktade DeFi-plattformen Echo Protocol har drabbats av ett utnyttjande sedan en angripare präglade ungefär 1 000 obehöriga eBTC-tokens på protokollets Monad-distribution.

Enligt blockchain-säkerhetsföretaget PeckShield och on-chain-analysplattformen Lookonchain skapade angriparen omkring 76,7 miljoner USD (ca 732 miljoner kr) i syntetiska Bitcoin-tokens innan denne försökte utvinna värde via decentraliserade utlåningsmarknader.

Echo Protocol bekräftade senare att man utreder "en säkerhetsincident som påverkar Echo-bron på Monad", samtidigt som man uppgav att alla cross-chain-transaktioner hade pausats under utredningen.

Monad-medgrundaren Keone Hon har klargjort på X att Monad-nätverket i sig fungerade normalt och inte hade blivit komprometterat.

Säkerhetsforskare och blockchain-utvecklare kunde senare urskilja incidenten till det som utvecklaren "Marioo" beskrev som ett driftfel kopplat till komprometterade adminbehörigheter snarare än ett fel i smartkontraktskoden i sig. 

Enligt utvecklaren fungerade eBTC-kontraktet som avsett, men svaga åtkomstkontroller gjorde det möjligt för angriparen att ta över administrativa behörigheter.

Hur utnyttjandet gick till

On-chain-utredare uppgav att angriparen först tilldelade sig själv DEFAULT_ADMIN_ROLE på Echos eBTC-kontrakt innan denne gav sin plånbok MINTER_ROLE, vilket möjliggjorde skapandet av nya tokens utan säkerhet. 

Efter att ha säkrat rätten att prägla tog angriparen enligt uppgift bort sina egna adminbehörigheter för att undvika att kvarstå med en synlig administrativ roll on-chain.

Med dessa kontroller på plats präglade exploatören 1 000 eBTC-tokens med ett pappersvärde på cirka 77 miljoner USD (ca 734,9 miljoner kr). 

Begränsad likviditet i Monad-ekosystemet förhindrade dock angriparen från att konvertera större delen av tillgångarna direkt via decentraliserade börser.

Istället visade uppgifter delade av Onchain Lens och Lookonchain att angriparen satte in 45 eBTC, värderade till ungefär 3,5 miljoner USD (ca 32,9 miljoner kr), i DeFi-utlåningsprotokollet Curvance som säkerhet. 

Mot dessa insättningar lånade angriparen cirka 11.29 wrapped Bitcoin (WBTC) värda omkring $867,700.

Efter att ha bridgat de lånade WBTC till Ethereum bytte exploatören till ETH och överförde cirka 384–385 ETH till kryptomixern Tornado Cash, enligt flera on-chain-spårningskonton.

Lookonchain- och DeBank-data indikerade att angriparen fortfarande kontrollerar 955 eBTC värda omkring 73 miljoner USD (ca 696,7 miljoner kr), även om DefiPrime-grundaren Nick Sawinyh skrev i ett inlägg att de återstående eBTC i praktiken var oanvändbara eftersom Monads DeFi-likviditetsdjup inte kunde absorbera det falska utbudet.

Marioo pekade också på flera säkerhetssvagheter som förstärkte attackens påverkan, inklusive användningen av en adminroll med enkel signatur, frånvaron av en timelock-mekanism, ingen präglingstak eller rate limiter, samt brist på valideringskontroller av säkerheter på Curvance för nypräglade eBTC.

Protokollen agerar för att begränsa skadorna

När utnyttjandet pågick uppgav Curvance att de upptäckt en "anomali" i Echo eBTC-marknaden och pausade den berörda utlåningsmarknaden medan utredningen fortsatte. 

Protokollet uppgav att det inte fanns några tecken på att dess egna smarta kontrakt hade komprometterats, och tillade att dess isolerade marknadsarkitektur förhindrade spridning till andra utlåningspooler.

Enligt Hon beräknade säkerhetsforskare realiserade förluster till cirka $816,000, avsevärt under pappersvärdet för den obehöriga präglingen eftersom större delen av det falska eBTC-utbudet inte kunde likvideras.

Echo Protocol, som fokuserar på Bitcoin-likviditetsaggregation, liquid staking, restaking och avkastningsgenerering över flera kedjor, har ännu inte uppgett hur adminuppgifterna komprometterades. 

Protokollet sade att ytterligare uppdateringar kommer att delas via officiella kanaler i takt med att utredningen fortskrider.

Incidenten har lagts till en växande lista av DeFi-utnyttjanden som registrerats sedan årets början.

Som tidigare rapporterats av Invezz, komprometterades KelpDAO:s broinfrastruktur i en avancerad RPC-förgiftning och distribuerad överbelastningsattack (DDoS) som resulterade i ett massivt 292 miljoner USD (ca 2,8 miljarder kr)-utnyttjande.