در تاریخ ۱۸ مه ۲۰۲۶، یک مهاجم با سوءاستفاده از نقش بدون مجوز در پروتکل Echo متعلق به Monad، ۱٬۰۰۰ eBTC معادل ۷۷ میلیون دلار را تولید کرد. آنها حدود ۸۷۰٬۰۰۰ دلار از این توکنها را از طریق Curvance به WBTC تبدیل کردند، اما ۹۹ درصد از وجوه دزدیدهشده همچنان مسدود ماندهاند. این نقض شباهتی به دو نقض قبلی در سال ۲۰۲۶ با زیانهای کمتر دارد.
چگونگی وقوع حمله
مهاجم ابتدا نقش DEFAULT_ADMIN_ROLE را برای خودشان در پروتکل Echo اختصاص دادند. سپس قبل از اجرای تراکنش تولید، نقش MINTER_ROLE را نیز اختصاص دادند. این توکنها به آدرس ۰x۶a۰۱ ارسال شدند و هش تراکنش ۰x۲cc۹۷۳ بود. مجوزهای ادمین بلافاصله پس از آن لغو شدند تا دسترسی مخفی بماند. هیچ بیانیه رسمی از سوی Echo Protocol یا Curvance ارائه نشد.
۷۶ میلیون دلار مسدود شده
۹۹ درصد eBTC تولیدشده در کیف پول مهاجم بیحرکت باقی ماندهاند. نقدینگی محدود وامدهی و DEX متعلق به Monad امکان جابجایی مبالغ بزرگ را ممنوع کرده است. تنها یک کسر کوچک تبدیل شد زمانی که مهاجم ۴۵ eBTC را به عنوان وثیقه در Curvance واریز کرد. آنها در عوض ۱۱٫۲۹۶ WBTC قرض گرفتند. بقیه به سادگی قابل جابجایی نیستند.
دژا وو در دیفای
این سومین نقض اصلی مبتنی بر نقش در چهار ماه گذشته است. نقض Resolv USR در مارس الگوی مشابهی داشت اما زیانهای آن ۳۰ برابر بیشتر بود. حادثه KelpDAO rsETH در آوریل از همان الگوی مشابه پیروی کرد. مهاجم هر بار از تاکتیکهای سوءاستفاده از نقش یکسان استفاده کرده است. این زمانبندی برای شهرت امنیتی Monad چندان مناسب نیست.
مسیر آینده نامشخص
اعضای جامعه به پروتکل Echo به عنوان منبع اشاره میکنند، اما هیچ تأییدیه عمومی وجود ندارد. Curvance نیز تعامل وثیقه را توضیح نداده است. با سکوت هر دو تیم، وجوه مسدودشده ممکن است هفتهها قفل بمانند. گام بعدی مشخص، ارائه یک بیانیه رسمی که قرارداد مورد نقض را نام ببرد، خواهد بود.
