Vào ngày 18 tháng 5 năm 2026, một kẻ tấn công đã phát hành 1.000 eBTC trị giá 77 triệu USD bằng cách thao túng vai trò không được ủy quyền trên Echo Protocol của Monad. Chúng đã chuyển đổi khoảng 870.000 USD token thành WBTC thông qua Curvance, nhưng 99% số tiền bị đánh cắp vẫn bị khóa. Vụ vi phạm này tương tự hai vụ tấn công trước đó trong năm 2026 với tổn thất nhỏ hơn.
Cách Thức Tấn Công Diễn Ra
Kẻ tấn công trước tiên đã tự cấp cho mình vai trò DEFAULT_ADMIN_ROLE trên Echo Protocol. Sau đó, chúng cấp quyền MINTER_ROLE trước khi thực hiện giao dịch phát hành. Các token được chuyển đến địa chỉ 0x6a01 và mã băm giao dịch là 0x2cc973. Quyền quản trị đã bị thu hồi ngay sau đó để che giấu quyền truy cập. Không có thông báo chính thức nào từ Echo Protocol hoặc Curvance.
76 Triệu USD Bị Khóa
99% số eBTC được phát hành đang nằm yên trong ví của kẻ tấn công. Khả năng cho vay và thanh khoản DEX hạn chế của Monad ngăn cản việc di chuyển số lượng lớn. Chỉ một phần nhỏ được chuyển đổi khi kẻ tấn công gửi 45 eBTC làm tài sản đảm bảo trên Curvance. Chúng đã vay lại 11.296 WBTC. Phần còn lại đơn giản không thể di chuyển.
Deja Vu Trong DeFi
Đây là vụ lỗ hổng dựa trên vai trò lớn thứ ba trong vòng bốn tháng. Sự cố Resolv USR tháng 3 có mô hình tương tự nhưng tổn thất lớn gấp 30 lần. Sự cố KelpDAO rsETH tháng 4 cũng tuân theo cùng một kịch bản. Kẻ tấn công đã sử dụng các chiến thuật thao túng vai trò giống hệt nhau mỗi lần. Thời điểm này không thuận lợi cho uy tín bảo mật của Monad.
Con Đường Phía Trước Chưa Rõ Ràng
Các thành viên cộng đồng đang chỉ vào Echo Protocol là nguồn gốc, nhưng chưa có xác nhận công khai nào. Curvance cũng chưa giải thích về tương tác tài sản đảm bảo. Với cả hai đội im lặng, số tiền bị khóa có thể vẫn bị phong tỏa trong vài tuần. Bước tiếp theo cụ thể sẽ là một thông báo chính thức nêu tên hợp đồng bị khai thác.
