Nền tảng DeFi Bitcoin Echo Protocol bị tấn công bởi lỗ hổng $76M Monad

Tóm tắt ngắn gọn

* Kẻ tấn công đã tạo ra 1.000 eBTC trên chuỗi khối Monad của Echo Protocol trước khi vay mượn và chuyển tiền qua các chuỗi.
* Echo Protocol cho biết một khóa quản trị bị xâm phạm đã cho phép hoạt động tạo token trái phép và ước tính thiệt hại khoảng 816.000 đô la.
* Vụ khai thác này là vụ mới nhất trong chuỗi các cuộc tấn công DeFi đã làm dấy lên lo ngại về an ninh chuỗi chéo và an ninh của các giao thức.

Lớp hạ tầng tổng hợp thanh khoản Bitcoin và lợi nhuận, Echo Protocol, đã bị tấn công bởi một lỗ hổng trên triển khai của nó trên chuỗi khối Monad sau khi một kẻ tấn công tạo ra 1.000 eBTC trái phép trị giá khoảng 77 triệu đô la, trong đó khoảng 816.000 đô la cuối cùng đã bị rửa qua công cụ trộn coin Tornado Cash.
Công ty an ninh blockchain PeckShield đã cảnh báo về vụ việc, trích dẫn nhà điều tra onchain dcfgod, ghi nhận rằng kẻ tấn công "đã tạo ra 1k $eBTC (76,7 triệu đô la) &, sử dụng luồng đã được kiểm tra, gửi 45 $eBTC (3,45 triệu đô la) vào Curvance."
Sau đó, hacker vay khoảng 11,29 WBTC (867.700 đô la) dựa trên tài sản thế chấp, chuyển WBTC sang Ethereum, đổi chúng lấy ETH, và gửi 384 ETH (~821.700 đô la) đến Tornado Cash.
Echo Protocol xác nhận vụ vi phạm trong một tweet vào thứ Ba, nói rằng cuộc điều tra của họ "cho thấy vấn đề bắt nguồn từ một khóa quản trị bị xâm phạm ảnh hưởng đến triển khai trên Monad."

> Hôm nay sớm, Echo Protocol đã xác định hoạt động trái phép liên quan đến eBTC trên Monad dẫn đến việc tạo token trái phép và mất tiền liên quan.
>
> Cuộc điều tra của chúng tôi cho thấy vấn đề bắt nguồn từ một khóa quản trị bị xâm phạm ảnh hưởng đến triển khai trên Monad. Dựa trên hiện tại…
>
> — Echo Protocol (@EchoProtocol_) 19 tháng 5 năm 2026

"Dựa trên các phát hiện hiện tại, khoảng $816K đã bị ảnh hưởng trên Monad. Mạng lưới Monad không bị ảnh hưởng và vẫn hoạt động bình thường," nhóm cho biết, thêm rằng họ đã "thành công lấy lại quyền kiểm soát các khóa quản trị của mình và đốt số còn lại 955 eBTC đang nằm trong quyền sở hữu của kẻ tấn công."
Decrypt đã liên hệ với Echo Protocol để lấy ý kiến.
Vụ khai thác này theo mô hình khóa quản trị quen thuộc đã gây ra nhiều lo ngại trong các giao thức chuỗi chéo, nơi một chứng chỉ bị xâm phạm có thể mở khóa quyền tạo token trên toàn bộ hệ thống triển khai.

Echo cho biết vụ việc "dường như chỉ giới hạn ở Monad," với "không có bằng chứng về việc bị xâm phạm trên Aptos."
Nhóm lưu ý rằng aBTC trên Aptos và eBTC trên Monad là các tài sản riêng biệt, không thể cầu nối, với mức độ rủi ro hiện tại của Aptos chỉ khoảng 71.000 đô la qua các thị trường cho vay của Echo và các pool thanh khoản Hyperion, và chưa có thiệt hại xác nhận nào trên chuỗi đó.
eBTC là biểu diễn Bitcoin đã được đóng gói của Echo trên Monad, trong khi aBTC là đối tác của nó trên Aptos, cả hai đều được thiết kế để đưa thanh khoản BTC vào các ứng dụng DeFi trên các chuỗi đó.
Misha Putiatin, đồng sáng lập của Symbiotic và công ty an ninh hợp đồng thông minh Statemind, nói với Decrypt rằng ngành công nghiệp nên dự kiến sẽ có nhiều vụ việc như vậy hơn khi các giao thức ngày càng dựa nhiều vào các thành phần ngoài chuỗi.
"Khi các giao thức DeFi ngày càng phụ thuộc vào hạ tầng ngoài chuỗi, chúng ta có khả năng sẽ thấy sự trỗi dậy của các cuộc tấn công kiểu 'Web2.5' nhắm vào quản lý khóa tập trung, cơ sở dữ liệu và hạ tầng vận hành," Putiatin nói.
Gọi đó là một “cân bằng,” ông nói rằng các hệ thống với “quản lý phức tạp hơn” ngày càng dễ bị tấn công xã hội và tấn công hạ tầng hơn so với “các hệ thống hoàn toàn không cần phép.”
Putiatin nói rằng các thành phần tập trung và ngoài chuỗi của các giao thức DeFi đã từng được xem là "khu vực rủi ro thứ cấp," nhưng ông dự đoán điều đó sẽ thay đổi.

"Chúng ta có thể sẽ thấy nhiều hơn nữa sự chú trọng vào hạ tầng vận hành, quản lý khóa, và các khung an ninh nội bộ, tương tự như cách các cuộc kiểm tra hợp đồng thông minh đã trở thành tiêu chuẩn sau chu kỳ khai thác năm 2021," ông nói.

Các biện pháp phòng ngừa
Echo đã tạm dừng chức năng chuỗi chéo cho triển khai trên Monad và hoàn tất nâng cấp các hợp đồng Monad liên quan "để hạn chế các hoạt động bị ảnh hưởng và tăng cường kiểm soát các chức năng nhạy cảm."
Cầu nối Aptos đã hoàn toàn tạm dừng như một biện pháp phòng ngừa mặc dù chưa phát hiện tác động, và Echo Aptos Lending đã bị đình chỉ để đảm bảo an ninh.
Nhóm cho biết họ cũng đang nâng cấp các triển khai cầu nối dòng EVM của mình "để tăng cường kiểm soát chuỗi chéo và giảm thiểu rủi ro vận hành."
Các cuộc tấn công vào DeFi
Vụ vi phạm của Echo Protocol góp phần gia tăng áp lực về an ninh DeFi sau các vụ khai thác gần đây tại THORChain và TrustedVolumes, cũng như vụ tấn công liên quan đến hạ tầng trị giá 293 triệu đô la vào KelpDAO tháng trước, do nhóm Lazarus của Bắc Triều Tiên thực hiện.
Echo cho biết họ đang tiến hành xem xét toàn diện triển khai trên Monad bị ảnh hưởng và hạ tầng cầu nối liên quan, bao gồm khả năng bị xâm phạm của khóa quản trị, quyền hạn hợp đồng, kiểm soát chuỗi chéo, và kiểm soát tạo token, cùng các đối tác hệ sinh thái và các nhà đánh giá an ninh bên ngoài.