2026년 5월 18일, 공격자는 Monad의 Echo Protocol에서 무단 역할 조작을 통해 1,000 eBTC(7,700만 달러 상당)를 발행했습니다. 이 중 약 87만 달러 상당의 토큰을 Curvance를 통해 WBTC로 전환했으나, 도난된 자금의 99%는 여전히 동결되어 있습니다. 이번 사건은 2026년 이전에 발생한 손실 규모가 더 작은 두 건의 해킹 사례와 유사합니다.
공격의 전개 과정
공격자는 먼저 Echo Protocol에서 DEFAULT_ADMIN_ROLE을 스스로에게 부여했습니다. 이후 MINTER_ROLE을 할당한 다음 발행 거래를 실행했습니다. 토큰은 주소 0x6a01로 전송되었으며, 거래 해시는 0x2cc973입니다. 접근을 감추기 위해 관리자 권한은 거래 직후 즉시 취소되었습니다. Echo Protocol과 Curvance 측에서는 공식 성명을 발표하지 않았습니다.
동결된 7,600만 달러
발행된 eBTC의 99%는 공격자의 지갑에 그대로 남아 있습니다. Monad의 제한된 대출 및 DEX 유동성으로 인해 대규모 자금 이동이 불가능합니다. 공격자가 Curvance에 45 eBTC를 담보로 예치했을 때 лишь 소량의 토큰이 전환되었습니다. 이에 따라 11.296 WBTC를 차용했으나, 나머지 자금은 이동할 수 없습니다.
디파이의 데자뷰
이번 사건은 4개월 만에 세 번째로 발생한 주요 역할 기반 해킹 사례입니다. 3월의 Resolv USR 해킹은 유사한 패턴을 보였으나 손실 규모는 30배 더 컸습니다. 4월 KelpDAO rsETH 사건도 같은 방법으로 진행되었습니다. 공격자는 매번 동일한 역할 조작 전략을 사용했습니다. Monad의 보안 평판에 있어 이 시점은 바람직하지 않습니다.
미래 전망 불확실
커뮤니티 구성원들은 원인을 Echo Protocol에서 찾고 있으나, 공식 확인은 이루어지지 않았습니다. Curvance 측도 담보 상호작용에 대해 설명하지 않았습니다. 양사가 침묵하는 상황에서 동결된 자금은 수주간 그대로 봉인될 수 있습니다. 다음 단계는 해킹된 계약명을 밝힌 공식 성명 발표가 될 것입니다.
