18 मई, 2026 को, एक हमलावर ने Monad के Echo Protocol पर अनधिकृत भूमिका हस्तक्षेप का उपयोग करते हुए $77 मिलियन के बराबर 1,000 eBTC जारी किए। उन्होंने Curvance के माध्यम से टोकन का लगभग $870,000 WBTC में परिवर्तित किया, लेकिन चोरी की गई धनराशि का 99% अभी भी फ्रीज़ है। यह घटना 2026 में हुई दो पिछली घटनाओं जिनमें कम नुकसान हुआ था, की तरह है।
हमला कैसे हुआ
हमलावर ने पहले Echo Protocol पर DEFAULT_ADMIN_ROLE स्वयं को सौंपा। फिर उन्होंने मिंट लेनदेन को निष्पादित करने से पहले MINTER_ROLE सौंपा। टोकन पते 0x6a01 पर गए और लेनदेन हैश 0x2cc973 था। प्रशासक अधिकारों को तुरंत बाद में छिपाने के लिए वापस ले लिया गया। Echo Protocol या Curvance द्वारा कोई आधिकारिक बयान जारी नहीं किया गया।
$76 मिलियन फ्रीज़
जारी किए गए eBTC का 99% हमलावर के वॉलेट में निष्क्रिय रूप से स्थित है। Monad की सीमित लेंडिंग और DEX तरलता बड़ी राशि को स्थानांतरित करने से रोकती है। जब हमलावर ने Curvance पर 45 eBTC को सुरक्षा राशि के रूप में जमा किया, तो केवल एक छोटा सा हिस्सा परिवर्तित हुआ। उन्होंने बदले में 11.296 WBTC उधार लिए। शेष राशि को स्थानांतरित नहीं किया जा सकता है।
DeFi में पुनरावृत्ति
यह चार महीनों में तीसरा प्रमुख भूमिका-आधारित दुरुपयोग है। मार्च में Resolv USR घटना में समान पैटर्न था, लेकिन नुकसान 30 गुना अधिक था। अप्रैल की KelpDAO rsETH घटना ने उसी नक्शे का पालन किया। हमलावर ने प्रत्येक बार समान भूमिका हस्तक्षेप तकनीक का उपयोग किया। यह समय Monad की सुरक्षा प्रतिष्ठा के लिए अच्छा नहीं है।
आगे का अस्पष्ट मार्ग
समुदाय सदस्य Echo Protocol को स्रोत के रूप में दिखा रहे हैं, लेकिन कोई सार्वजनिक पुष्टि नहीं है। Curvance ने सुरक्षा राशि अंतर्क्रिया को स्पष्ट नहीं किया है। दोनों टीमों के चुप रहने के कारण, फ्रीज़ धनराशि को हफ्तों तक लॉक रहना पड़ सकता है। अगला ठोस कदम दुरुपयोग किए गए अनुबंध का नाम लेता हुआ आधिकारिक बयान होगा।
