Echo Protocol, una piattaforma DeFi focalizzata su Bitcoin, ha perso 76 milioni di dollari questa settimana dopo che un attaccante ha compromesso una chiave di amministrazione sulla sua implementazione su Monad. La violazione ha consentito il conio non autorizzato di eBTC — un token sintetico di Bitcoin — prosciugando valore dal protocollo in quello che sembra essere un furto mirato di chiavi.
Una singola chiave compromessa
L'exploit si è ridotto a un singolo punto di fallimento. Una chiave di amministrazione — tipicamente utilizzata per operazioni privilegiate come l'aggiornamento dei contratti o la messa in pausa del sistema — è finita nelle mani sbagliate. Con quella chiave, l'attaccante ha coniato eBTC senza un adeguato collaterale a supporto. I token coniati sono stati poi spostati fuori dalla piattaforma, probabilmente venduti o scambiati con altri asset.
Echo Protocol non ha rivelato come la chiave sia stata compromessa. Le chiavi private rubate rimangono uno dei vettori d'attacco più comuni in crypto, ma la scala qui — 76 milioni di dollari — mostra quanto danno possa causare un singolo passo falso.
Rischio specifico di Monad
L'hack ha colpito l'implementazione di Echo su Monad, una blockchain più recente progettata per DeFi ad alto throughput. Monad non esiste da molto tempo, e gli audit di sicurezza per le implementazioni cross-chain sono ancora in fase di maturazione. Non è ancora chiaro se la vulnerabilità fosse nel codice dello smart contract di Echo stesso o nel modo in cui la chiave di amministrazione era conservata off-chain.
Quello che è chiaro è che l'exploit non ha toccato l'implementazione principale di Echo su altre blockchain — solo l'istanza su Monad è stata prosciugata. Tuttavia, per gli utenti che detenevano eBTC su Monad, la perdita è totale.
Cosa succede ai fondi rubati
Al momento, i 76 milioni di dollari sono là fuori. I dati on-chain mostrano che l'attaccante ha spostato gli eBTC coniati verso wallet esterni. È probabile che vengano convertiti in ETH, stablecoin o altri asset per rendere più difficile il tracciamento. Nessun meccanismo di recupero è stato annunciato.
Echo Protocol non ha ancora nominato alcun coinvolgimento delle forze dell'ordine. In casi simili, i fondi rubati spesso finiscono su exchange decentralizzati o ponti cross-chain nel giro di poche ore. La finestra per catturare l'attaccante è stretta.
Una domanda senza risposta
La più grande incognita: come è stata compromessa la chiave di amministrazione? È stato un attacco di phishing, una fuga interna o una falla nell'infrastruttura di gestione delle chiavi? Il team di Echo Protocol non lo ha detto. Fino a quando non lo farà, ogni progetto DeFi che utilizza una configurazione simile di chiavi di amministrazione si chiede se sarà il prossimo.
