Sektor DeFi otrzymał kolejny potężny cios ze strony cyberprzestępców. Echo Protocol doświadczył incydentu, w wyniku którego zniknąć miało ok. 77 mln dolarów w syntetycznym bitcoinie (eBTC). Wszystko wskazuje na to, że problemem nie był klasyczny błąd w kodzie, lecz kompromitacja systemu administracyjnego.
- Echo Protocol, działający w ekosystemie Monad, został wykorzystany do nieautoryzowanego wybicia 1000 eBTC o wartości ok. 76,7 mln dolarów.
- Atakujący użył części środków jako zabezpieczenia w Curvance, pożyczył WBTC, przeniósł je na Ethereum, zamienił na ETH i wysłał ok. 384 ETH do Tornado Cash.
Echo Protocol traci 77 mln dolarów
Echo Protocol, projekt DeFi zbudowany wokół syntetycznych aktywów, opartych na bitcoinie, padł ofiarą jednego z największych ataków na rynku krypto w tym roku.
Według ustaleń firm analitycznych PeckShield i Lookonchain, napastnik uzyskał nieautoryzowany dostęp do wybicia 1000 sztuk eBTC, czyli syntetycznego bitcoina używanego w ekosystemie protokołu.
Wartość tych tokenów oszacowano na ok. 76,7 miliona dolarów.
Sam Echo Protocol potwierdził, że bada incydent dotyczący mostu Echo w sieci Monad i zawiesił wszystkie transakcje między blockchainami na czas dochodzenia.
Monad podkreślił natomiast, że sama sieć działa normalnie i nie została naruszona.
Najważniejsze pytanie brzmi: jak do tego doszło?
Wstępne analizy wskazują, że nie był to typowy błąd smart kontraktu. Jeden z deweloperów w rozmowie z mediami wskazał, że przyczyną miał być przejęty klucz prywatny administratora.
Innymi słowy, ktoś uzyskał dostęp do uprawnień, które pozwalały wybijać nowe tokeny eBTC.
Kontrakt miał działać zgodnie z założeniami, ale problemem była słaba architektura bezpieczeństwa: pojedynczy podpis administratora, brak blokady czasowej, brak limitu wybijania nowych tokenów i dodatkowych kontroli dot. podąży świeżo wybitych tokenów.
Później atakujący zaczął zamieniać „papierowe” eBTC na realną płynność.
Najpierw zdeponował 45 eBTC, warte ok. 3,45 miliona dolarów, w protokole Curvance jako zabezpieczenie. Następnie pożyczył ok. 11,3 WBTC, przeniósł je do sieci Ethereum, wymienił na ethery i wysłał ok. 384 ETH, czyli ponad 800 tys. dolarów, do miksera Tornado Cash.
Reszta łupu, jak wynika z danych DeBank, nadal pozostaje w portfelu atakującego w postaci ok. 955 eBTC.
Curvance przekazało, że nie ma oznak naruszenia jego własnych smart kontraktów, a problem dotyczył rynku eBTC powiązanego z Echo.
Cyberprzestępcy wciąż są o krok przed branżą krypto
To kolejny sygnał ostrzegawczy dla całego sektora zdecentralizowanych finansów (DeFi).
W tym roku rynek widział już potężny atak na DEX w sieci Solana, o którym pisaliśmy przy okazji strat rzędu 280 mln dolarów.
Głośno było też o sprawie Kelp DAO, która uderzyła w zaufanie do sektora restakingu, oraz o niedawnym exploicie polskiego projektu Adshares, gdzie napastnik oszukał mechanizm mostu i wybił fałszywe tokeny.
Echo Protocol pokazuje, że problem nie sprowadza się tylko do błędów w kodzie.
Czasem wystarczy źle zabezpieczony klucz, zbyt duża władza administratora i brak hamulców bezpieczeństwa, aby z rynku wyparowały dziesiątki milionów dolarów.
Branża krypto od lat obiecuje finansową rewolucję bez pośredników, ale wciąż nie potrafi rozwiązać podstawowego problemu.
Użytkownik często nie wie, czy ufa zdecentralizowanemu protokołowi, czy tylko jednej osobie trzymającej klucz do całego systemu.
Śledź CrypS. w Google News. Czytaj najważniejsze wiadomości bezpośrednio w Google! Obserwuj ->
Zajrzyj na nasz telegram i dołącz do Crypto. Society. Dołącz ->
