Më 18 Maj 2026, një sulmues krijoi 1,000 eBTC me vlerë $77 milion duke përdorur manipulimin e paautorizuar të rolit në Echo Protocol të Monad. Ata kthyen rreth $870,000 prej tokenëve në WBTC përmes Curvance, por 99% e fondeve të vjedhura mbeten të ngrira. Kjo shkelje ripërsërit dy shkelje të mëparshme të vitit 2026 me humbje më të vogla.
Si Zhvilloi Sulmi
Sulmuesi i dha vetes rolin DEFAULT_ADMIN_ROLE në Echo Protocol. Pastaj i caktua MINTER_ROLE para se të ekzekutojë një transaksion mintimi. Tokenët u dërguan në adresën 0x6a01 dhe hash-i i transaksionit ishte 0x2cc973. Privilegjet admin u anuluan menjëherë pasi për të fshehur hyrjen. Nuk ka pasur asnjë deklaratë zyrtare nga Echo Protocol ose Curvance.
$76 Milionet të Ngrira
99% e eBTC-së së shpërndarë qëndron e papërdorur në portofolin e sulmuesit. Likuiditeti i kufizuar i huazimit të Monad dhe i DEX-it pengon lëvizjen e shumave të mëdha. Vetëm një pjesë e vogël u kthye kur sulmuesi depozitoi 45 eBTC si garanci në Curvance. Ata morrën 11.296 WBTC si borxh. Pjesa tjetër thjesht nuk mund të lëvizet.
Deja Vu në DeFi
Kjo është sulmi i tretë i madh bazuar në rol në katër muajt e fundit. Shkelja e Resolv USR në Mars kishte një model të ngjashëm por humbjet ishin 30 herë më të mëdha. Rastet e KelpDAO rsETH në Prill ndiqën të njëjtin skemë. Sulmuesi përdori taktika identike të manipulimit të rolit çdo herë. Kjo kohë nuk është ideale për reputacionin e sigurisë së Monad.
Shteg i Panjohur Përpara
Anëtarët e komunitetit tregojnë se Echo Protocol është burimi, por nuk ka konfirmim publik. Curvance nuk ka shpjeguar as interaksionin e garancisë. Me të dy ekipe të heshtura, fondet e ngrira mund të mbeten të kyçura për javë. Hapi tjetër i konkret do të ishte një deklaratë zyrtare që emëron kontratën e shplojtuar.
