Den 18. maj 2026 mintede en angriber 1.000 eBTC, der var værd 77 millioner USD, ved at udnytte uautoriserede roller på Monad's Echo Protocol. De konverterede omkring 870.000 USD af tokens til WBTC via Curvance, men 99 % af de stjålne midler er stadig frosset. Hændelsen minder om to tidligere udnyttelser i 2026 med mindre tab.
Sådan udspillede angrebet sig
Angriberen tildelte først sig selv DEFAULT_ADMIN_ROLE på Echo Protocol. Derefter tildelte de MINTER_ROLE, inden de udførte en mint-transaktion. Tokens blev sendt til adressen 0x6a01, og transaktionshashen var 0x2cc973. Administratorrettighederne blev straks frataget for at skjule adgangen. Der kom ingen officiel udtalelse fra Echo Protocol eller Curvance.
De frosne 76 millioner USD
99 % af de mintede eBTC ligger inaktivt i angriberens tegnebog. Monad's begrænsede lån og DEX-likviditet forhindrer flytning af store beløb. Kun en lille del blev konverteret, da angriberen indsatte 45 eBTC som sikkerhed på Curvance. De optog 11,296 WBTC i gæld i bytte. Resten kan simpelthen ikke flyttes.
Déjà vu i DeFi
Dette er den tredje store udnyttelse baseret på roller inden for fire måneder. Marts' Resolv USR-udnyttelse havde et lignende mønster, men 30 gange større tab. Aprils KelpDAO rsETH-hændelse fulgte den samme skabelon. Angriberen anvendte identiske taktikker til rolleudnyttelse hver gang. Tidspunktet er ikke ideelt for Monad's sikkerhedsreputation.
Uklar fremtidig vej
Medlemskabet peger på Echo Protocol som kilde, men der findes ingen offentlig bekræftelse. Curvance har heller ikke forklaret sikkerhedsinteraktionen. Da begge hold er stille, kan de frosne midler forblive låst i uger. Den næste konkrete handling ville være en officiel udtalelse, der nævner den udnyttede kontrakt.
