去中心化金融平台EchoProtocol在Monad链上遭遇异常操作,攻击者利用管理权限生成了约1000枚未经授权的eBTC代币,总价值接近7670万美元。事件发生后,EchoProtocol立即暂停所有跨链交易以防止进一步损失。链上追踪显示,攻击者将虚假代币作为抵押品注入Curvance借贷协议,套取真实比特币锚定资产,并借助TornadoCash完成资金匿名化转移。
攻击行为的核心路径为:在未授权情况下铸造大量eBTC后,将其中45枚存入借贷协议Curvance,换取约11.29枚封装比特币(当时估值约86.8万美元)。随后,攻击者将获得的WBTC跨链至以太坊网络,兑换为ETH,并将其中385枚转至TornadoCash进行洗钱处理。据PeckShield监测,已有价值约82.2万美元的384枚ETH进入该混币服务,表明部分资产已完成脱敏。
目前,攻击者仍掌控约955枚未动用的eBTC,市值超过7300万美元。然而,由于Monad当前的借贷与去中心化交易所缺乏足够流动性来消化如此规模的抛压,这些代币实际处于“滞留”状态,难以直接变现。这一现象反映出新兴公链生态在高价值资产流通方面的结构性短板。
尽管最初仅称存在“跨链桥安全事件”,但后续开发者Marioo披露,问题并非出在智能合约或链上逻辑,而是管理员私钥泄露所致。eBTC合约本身运行正常,但其治理机制存在多重风险设计:采用单签名控制、无时间锁保护、未设定铸造上限或发行速率限制,且Curvance对新铸造代币未执行抵押品真实性校验,导致攻击者可轻易绕过风控。
Curvance在事件爆发后迅速关闭受影响的EchoeBTC市场,防止风险扩散。其强调自身协议架构具备市场隔离能力,未发现核心合约被入侵痕迹。同时,Monad联合创始人KeoneHon确认网络底层运行稳定,未遭受实质性破坏。初步评估显示,实际损失约为81.6万美元,远低于铸造总额,凸显损失可控性。
此次事件再次揭示新兴公链上新启动借贷市场的脆弱性。专家提醒,用户在参与前必须核实抵押资产的生成机制、权限归属及风控规则。若协议方无法清晰说明关键权限配置,如铸造控制权、验证流程等,则应视为高风险信号,需保持高度警惕。
这起事件是2026年以来接连发生的多起加密资产安全事件之一。此前,VerusProtocol跨链桥遭攻击致损1160万美元,DriftProtocol遭遇近2.85亿美元损失,KelpDAO亦因类似漏洞蒙受约2.92亿美元打击。此外,THORChain曾因疑似漏洞暂停交易,TransitFinance则因弃用合约被攻陷,造成近188万美元损失。整体趋势表明,快速扩张的DeFi生态正面临严峻的安全治理挑战。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.