ב-18 במאי 2026, מתקיף יצר 1,000 eBTC בשווי 77 מיליון דולר באמצעות מניפולציה לא מורשית של תפקידים ב-Echo Protocol של Monad. הם המירו כ-870,000 דולר מהטוקנים ל-WBTC דרך Curvance, אך 99% מהכספים שנגנבו נשארו מקופאים. הפריצה דומה לשתי פריצות קודמות ב-2026 עם אובדנים קטנים יותר.
כיצד התפתחה ההתקפה
המתקיף תחילה העניק לעצמו את DEFAULT_ADMIN_ROLE ב-Echo Protocol. לאחר מכן, הוא הקצה את MINTER_ROLE לפני ביצוע טרנזקציית מינט. הטוקנים נשלחו לכתובת 0x6a01 ועומס הטרנזקציה היה 0x2cc973. זכויות המנהל בוטלו מייד לאחר מכן כדי להסתיר את הגישה. לא יצאה הצהרה רשמית מ-Echo Protocol או מ-Curvance.
76 מיליון הדולר המוקפאים
99% מה-eBTC שניצרו נמצאים במנוחה בארנק המתקיף. הליקוידיות המוגבלת של ההלוואות וה-DEX של Monad מונעת מעבר של סכומים גדולים. רק שבר קטן הומר כאשר המתקיף הפקיד 45 eBTC כעיטור ב-Curvance. הם השאילו 11.296 WBTC בתמורה. השאר לא יכול להועבר.
דז'ה וו ב-DeFi
זו הפריצה השלישית המרכזית מבוססת תפקידים בארבעה חודשים האחרונים. הפריצה של Resolv USR במרץ הייתה דומה אך עם אובדנים הגדולים פי 30. המקרה של KelpDAO rsETH באפריל עקף את אותה תבנית. המתקיף השתמש בטקטיקות זהות של מניפולציית תפקידים בכל פעם. הזמנים אינם מוצלחים עבור המוניטין הביטחוני של Monad.
נתיב עתידי לא ברור
חברי הקהילה מצביעים על Echo Protocol כמקור, אך אין אישור ציבורי. גם Curvance לא הסבירה את האינטראקציה עם העיטור. עם שתיהן דוממות, הכספים המוקפאים עלולים להישאר נעולים למשך שבועות. הצעד המוחשי הבא יהיה הצהרה רשמית המזהה את החוזה שנפרץ.
