В сети Monad киберпреступник осуществил атаку на Echo Protocol, в результате чего злоумышленнику удалось искусственно создать 1000 eBTC общей стоимостью около $76,7 млн. Это событие вызвало падение стоимости токена ECHO более чем на 11%, до $0,0049.
Об этом сообщает Finway
Ход атаки и использованные уязвимости
Злоумышленник воспользовался уязвимостью в механизме валидации подписей мостового контракта Echo Protocol. По стандартным условиям для запуска эмиссии eBTC необходима M-количество подписей от N валидаторов, однако в этом случае контракт не проверял, действительно ли подписант входит в комитет и корректен ли хеш сообщения. Вместо настоящих подписей были использованы фейковые, что позволило хакеру обойти защиту и вызвать функцию _mint(). Из-за отсутствия ограничений MAX_SUPPLY и rate limit контракт подтвердил выпуск 1000 eBTC.
Как отмечают аналитики, подобные атаки ранее уже фиксировались — в частности, аналогичный взлом был осуществлён в 2022 году с мостом Wormhole, а также в случае с протоколом Verus.
«Проект Echo Protocol в сети Monad подвергся взлому, в результате чего было выпущено 1000 eBTC на общую сумму $76,7 млн, согласно PeckShield Alert».
Полученные eBTC хакер использовал как залог на платформе Curvance: он внес 45 eBTC (около $3,45 млн), после чего получил кредит в размере 11,29 WBTC (примерно $867 700). Далее активы перевели в Ethereum и обменяли на ETH. Часть средств (384 ETH, около $821 700) была отправлена в миксер Tornado Cash для дальнейшего отмывания.
Последствия атаки и реакция рынка
Аналитик Хамфри подчеркнул, что инцидент можно было бы предотвратить или уменьшить его последствия, если бы в контракте были установлены ограничения на одновременный выпуск и вывод активов. Соучредитель Monad Кеон Хон отметил, что сама сеть Monad не пострадала, а платформа Curvance приостановила рынок eBTC, чтобы исключить дальнейшие мошеннические действия.
Команда Echo Protocol официально подтвердила факт взлома и приостановила кроссчейн-транзакции для расследования инцидента. Однако, по данным Lookonchain, злоумышленник по-прежнему контролирует 955 eBTC на сумму более $73 млн.
Курс токена ECHO, по данным TradingView, упал на более чем 11% — в настоящее время он торгуется по $0,0049.
