Pada 18 Mei 2026, seorang penyerang mencetak 1.000 eBTC senilai $77 juta menggunakan manipulasi peran tanpa otorisasi pada Protokol Echo Monad. Mereka mengonversi sekitar $870.000 dari token tersebut menjadi WBTC melalui Curvance, tetapi 99% dana yang dicuri masih dibekukan. Pelanggaran ini mengulang dua eksploitasi sebelumnya pada 2026 yang memiliki kerugian lebih kecil.
Cara Serangan Terjadi
Penyerang pertama-tama memberikan diri mereka sendiri peran DEFAULT_ADMIN_ROLE pada Protokol Echo. Mereka kemudian menetapkan MINTER_ROLE sebelum menjalankan transaksi pencetakan. Token tersebut dikirim ke alamat 0x6a01 dan hash transaksi adalah 0x2cc973. Hak akses admin segera dicabut setelahnya untuk menyembunyikan akses. Tidak ada pernyataan resmi dari Protokol Echo atau Curvance.
$76 Juta yang Dibekukan
99% dari eBTC yang dicetak terdiam di dompet penyerang. Likuiditas terbatas pada layanan pinjaman dan DEX Monad mencegah pergerakan jumlah besar. Hanya sebagian kecil yang dikonversi ketika penyerang menyetorkan 45 eBTC sebagai jaminan di Curvance. Mereka meminjam 11,296 WBTC sebagai imbalannya. Sisa dana tidak dapat dipindahkan.
Deja Vu di DeFi
Ini adalah eksploitasi berbasis peran besar ketiga dalam empat bulan. Pelanggaran Resolv USR pada Maret memiliki pola serupa tetapi kerugian 30 kali lebih besar. Insiden KelpDAO rsETH pada April mengikuti rencana yang sama. Penyerang menggunakan taktik manipulasi peran yang identik setiap kali. Waktu kejadian ini tidak menguntungkan bagi reputasi keamanan Monad.
Jalan Maju yang Tidak Jelas
Anggota komunitas menunjuk Protokol Echo sebagai sumber, tetapi tidak ada konfirmasi publik. Curvance juga belum menjelaskan interaksi jaminan tersebut. Dengan kedua tim diam, dana yang dibekukan mungkin tetap terkunci selama berminggu-minggu. Langkah konkret berikutnya adalah pernyataan resmi yang menyebutkan kontrak yang dieksploitasi.
