Στις 18 Μαΐου 2026, ένας επιτιθέμενος εκδίδει 1.000 eBTC αξίας 77 εκατομμυρίων δολαρίων χρησιμοποιώντας αναρμόδια χειραγώγηση ρόλων στο Echo Protocol της Monad. Μετέτρεψε περίπου 870.000 δολάρια από τα τοκέν σε WBTC μέσω της Curvance, αλλά το 99% των κλεμμένων κεφαλαίων παραμένει παγωμένο. Η παραβίαση αντικατοπτρίζει δύο προηγούμενες εκμεταλλεύσεις του 2026 με μικρότερες απώλειες.
Πώς Εξελίχθηκε η Επίθεση
\nΟ επιτιθέμενος πρώτα παραχώρησε στον εαυτό του τον ρόλο DEFAULT_ADMIN_ROLE στο Echo Protocol. Στη συνέχεια ανέθεσε τον ρόλο MINTER_ROLE πριν εκτελέσει μια συναλλαγή mint. Τα τοκέν μεταφέρθηκαν στη διεύθυνση 0x6a01 και ο κωδικός συναλλαγής ήταν 0x2cc973. Τα δικαιώματα διαχειριστή ανακλήθηκαν αμέσως μετά για να κρυφτεί η πρόσβαση. Δεν υπήρξε επίσημη δήλωση από το Echo Protocol ή την Curvance.
Τα Παγωμένα 76 Εκατομμύρια Δολάρια
\nΤο 99% των εκδοθέντων eBTC παραμένει ακίνητο στο πορτοφόλι του επιτιθέμενου. Η περιορισμένη δανειοδότηση και η ρευστότητα DEX της Monad εμποδίζουν τη μετακίνηση μεγάλων ποσών. Μόνο ένα μικρό μέρος μετατράπηκε όταν ο επιτιθέμενος κατέθεσε 45 eBTC ως εξασφάλιση στην Curvance. Δανείστηκε 11,296 WBTC σε αντάλλαγμα. Το υπόλοιπο απλώς δεν μπορεί να μετακινηθεί.
Déjà Vu στο DeFi
\nΠρόκειται για την τρίτη σημαντική εκμετάλλευση βασισμένη σε ρόλους τα τελευταία τέσσερα μήνα. Η παραβίαση του Resolv USR τον Μάρτιο ακολούθησε παρόμοιο σχέδιο αλλά με 30 φορές μεγαλύτερες απώλειες. Το περιστατικό του KelpDAO rsETH τον Απρίλιο ακολούθησε το ίδιο πρότυπο. Ο επιτιθέμενος χρησιμοποίησε ταυτόσημες τακτικές χειραγώγησης ρόλων κάθε φορά. Η στιγμή δεν είναι ευνοϊκή για την εικόνα ασφάλειας της Monad.
Αβέβαιο Μέλλον
\nΜέλη της κοινότητας υποδεικνύουν το Echo Protocol ως πηγή, αλλά δεν υπάρχει δημόσια επιβεβαίωση. Η Curvance δεν έχει εξηγήσει ούτε την αλληλεπίδραση της εξασφάλισης. Με τις δύο ομάδες σιωπηλές, τα παγωμένα κεφάλαια μπορεί να παραμείνουν κλειδωμένα για εβδομάδες. Η επόμενη συγκεκριμένη ενέργεια θα ήταν μια επίσημη δήλωση που να αναφέρει την εκμεταλλευμένη σύμβαση.
