专注于比特币的去中心化金融平台 Echo Protocol 本周因攻击者入侵其 Monad 部署中的管理员密钥,损失了 7600 万美元。此次入侵使得攻击者能够未经授权铸造 eBTC(一种合成比特币代币),从而抽走了协议中的价值,这看起来是一次有针对性的密钥窃取事件。
单一密钥被攻破
此次漏洞归结于单一的故障点。一把通常用于合约升级、系统暂停等特权操作的管理员密钥落入了不法之徒手中。借助该密钥,攻击者在没有适当抵押品支持的情况下铸造了 eBTC。这些被铸造的代币随后被转移出平台,很可能是被出售或兑换成了其他资产。
Echo Protocol 尚未披露密钥是如何被攻破的。私钥被盗仍是加密货币领域最常见的攻击手段之一,但此次事件涉及 7600 万美元的规模,充分显示了一次失误能造成多大的损失。
Monad 特有的风险
此次黑客攻击针对的是 Echo 在 Monad 上的部署,Monad 是一条专为高吞吐量 DeFi 设计的新兴链。Monad 问世时间不长,针对跨链部署的安全审计仍在成熟过程中。目前尚不清楚漏洞是出在 Echo 的智能合约代码本身,还是出在管理员密钥的链下存储方式上。
明确的是,此次漏洞并未波及 Echo 在其他链上的主要部署——只有 Monad 上的实例被抽空。尽管如此,对于在 Monad 上持有 eBTC 的用户来说,损失是彻底的。
被盗资金的去向
目前,这 7600 万美元已经流出。链上数据显示,攻击者将铸造的 eBTC 转移到了外部钱包。这些资金很可能正在被兑换成 ETH、稳定币或其他资产,以增加追踪难度。尚未公布任何追回机制。
Echo Protocol 尚未提及任何执法机构的介入。在类似案例中,被盗资金往往在数小时内就出现在去中心化交易所或跨链桥上。抓住攻击者的窗口期非常短暂。
一个悬而未决的问题
最大的未知数是:管理员密钥是如何被攻破的?是钓鱼攻击、内部泄露,还是密钥管理基础设施存在缺陷?Echo Protocol 团队尚未说明。在他们给出答案之前,所有采用类似管理员密钥设置的 DeFi 项目都不禁要问:自己会不会是下一个目标?
