Echo Protocol Diserang Eksploitasi Penerbitan eBTC Tanpa Izin Senilai $76,7 Juta

Echo Protocol yang beroperasi di blockchain Monad mengalami pelanggaran keamanan besar pada Selasa, ketika seorang penyerang membuat sekitar 1.000 token eBTC yang tidak sah. Hal ini menghasilkan sekitar 76,7 juta dolar AS senilai Bitcoin sintetis yang dibuat tanpa otorisasi. Perusahaan keamanan blockchain PeckShield dan Lookonchain melaporkan insiden tersebut, sementara Echo Protocol kemudian mengonfirmasi bahwa mereka sedang menyelidiki masalah keamanan yang memengaruhi infrastruktur bridge-nya. Penyebab utamanya diidentifikasi sebagai kunci privat admin yang telah dikompromikan, bukan kerentanan smart contract, menurut pengembang blockchain Marioo. Ini menjadikan pelanggaran tersebut masalah keamanan operasional, bukan kelemahan teknis pada kode protokol.

Rincian Eksploitasi dan Pergerakan Aset

Penyerang dengan cepat mulai memindahkan sebagian aset curian melalui platform keuangan terdesentralisasi. Menurut PeckShield, peretas tersebut menyetorkan 45 eBTC yang bernilai sekitar 3,45 juta dolar AS ke Curvance, sebuah platform DeFi untuk pinjaman dan manajemen likuiditas. Penyerang lalu meminjam sekitar 11,3 wrapped Bitcoin senilai sekitar 868.000 dolar AS terhadap jaminan tersebut, sebelum melakukan bridging aset ke Ethereum.

Setelah mentransfer dana ke Ethereum, penyerang menukar aset tersebut menjadi ETH dan akhirnya mengirim sekitar 384 ETH yang bernilai kira-kira 822.000 dolar AS melalui Tornado Cash. Meskipun perpindahan ini terjadi, sebagian besar aset curian tetap belum tersentuh. Data dari DeBank menunjukkan bahwa penyerang masih mengendalikan sekitar 955 eBTC, yang mewakili hampir 95% dari aset kripto yang dicuri dan bernilai sekitar 73 juta dolar AS.

Kelemahan Keamanan yang Teridentifikasi

Beberapa kelemahan keamanan berkontribusi pada besarnya skala eksploitasi. Di antaranya adalah ketergantungan pada peran admin single-signature, tidak adanya mekanisme timelock, tidak ada batas pasokan saat minting atau batas laju, serta tidak adanya pemeriksaan validasi pasokan untuk jaminan yang baru diminting di Curvance.

Respons dan Pembaruan Status

Echo Protocol mengumumkan bahwa semua transaksi lintas-chain ditangguhkan sementara penyelidikan berlanjut. Curvance menyatakan bahwa smart contract mereka sendiri tidak dikompromikan, tetapi mengonfirmasi bahwa mereka menghentikan pasar eBTC yang terdampak sementara investigasi berlangsung. Co-founder Monad Keone Hon menjelaskan bahwa blockchain Monad itu sendiri tidak terpengaruh dan beroperasi normal.

Eksploit Echo Protocol menambah daftar panjang serangan DeFi baru-baru ini, bergabung dengan insiden yang melibatkan THORChain, Ethereum bridge milik Verus Protocol, Transit Finance, TrustedVolumes, dan Ekubo.