Pada 18 Mei 2026, seorang penyerang telah mencetak 1,000 eBTC bernilai $77 juta dengan menggunakan manipulasi peranan tanpa kebenaran pada Echo Protocol Monad. Mereka menukarkan kira-kira $870,000 daripada token tersebut kepada WBTC melalui Curvance, tetapi 99% daripada dana yang dicuri masih beku. Pencerobohan ini mengingatkan kepada dua eksploit sebelumnya pada tahun 2026 yang mempunyai kerugian lebih kecil.
BAGAIMANA SERANGAN BERLAKU
Penyerang pertama-tama memberikan DEFAULT_ADMIN_ROLE kepada diri sendiri pada Echo Protocol. Kemudian, mereka memberikan MINTER_ROLE sebelum melaksanakan transaksi mencetak. Token tersebut dihantar ke alamat 0x6a01 dan hash transaksi adalah 0x2cc973. Keistimewaan pentadbir dibatalkan serta-merta selepas itu untuk menyembunyikan akses. Tiada kenyataan rasmi daripada Echo Protocol atau Curvance.
$76 JUTA YANG BEKU
99% daripada eBTC yang dicetak terletak tidak aktif dalam dompet penyerang. Likuiditi terhad dalam pinjaman dan DEX Monad menghalang pergerakan jumlah besar. Hanya sebahagian kecil yang ditukar apabila penyerang memasukkan 45 eBTC sebagai jaminan di Curvance. Mereka meminjam 11.296 WBTC sebagai gantinya. Baki yang lain tidak dapat dipindahkan.
DEJA VU DALAM DEFI
Ini adalah eksploit berdasarkan peranan ketiga yang besar dalam tempoh empat bulan. Pencerobohan Resolv USR pada Mac mempunyai corak yang serupa tetapi kerugian 30 kali lebih besar. Insiden KelpDAO rsETH pada April mengikuti rancangan yang sama. Penyerang menggunakan taktik manipulasi peranan yang identik setiap kali. Masa ini tidak sesuai untuk reputasi keselamatan Monad.
LANDASAN TERUS TIDAK JELAS
Ahli komuniti menunjuk kepada Echo Protocol sebagai sumber, tetapi tiada pengesahan awam yang wujud. Curvance juga tidak menjelaskan interaksi jaminan tersebut. Dengan kedua-dua pasukan diam, dana yang beku mungkin kekal terkunci selama berminggu-minggu. Langkah seterusnya yang konkrit ialah kenyataan rasmi yang menamakan kontrak yang dieksploit.
