Monad链上DeFi协议Echo Protocol遭遇重大黑客攻击,攻击者疑似利用Admin私钥直接铸造1,000枚eBTC(约7,670万美元),并透过多层跨链操作,最终将约384枚ETH(约82万美元)送入混币器Tornado Cash。
PeckShield Alert链上监测显示,攻击者取得Admin私钥后,直接触发铸造函式,凭空产出1,000枚eBTC(Echo Protocol的BTC挂钩代币,总值约7,670万美元)。随后攻击者执行一套事先测试过的资金转移流程:
将45枚eBTC(约345万美元)存入DeFi借贷协议Curvance作为抵押品
以此借出约11.29枚WBTC(约86.8万美元)
将WBTC跨链桥接至以太坊主网
在以太坊上将WBTC换成ETH
最终将384枚ETH(约82万美元)送进Tornado Cash混币器
攻击流程清晰、环环相扣,「事先测试过的流程」细节尤为刺眼,显示攻击者在正式出手前已完整演练过整条资金逃脱路径。
慢雾创办人余弦稍早在X上指出,Echo Protocol此次遭黑,根因疑为Admin单点私钥沦陷,而非智能合约本身存在代码漏洞。
这一判断直指DeFi协议长期存在的中心化安全盲点:若铸造许可权集中由单一私钥掌控,一旦该私钥外泄或遭窃,攻击者等同取得无限铸币权,整个抵押机制形同虚设。
此类「Admin Key攻击」在DeFi生态屡见不鲜,但部分开发团队往往以「便于营运管理」为由,迟迟未汇入多签(Multisig)或时间锁机制。
截至发稿,Echo Protocol尚未发布官方宣告,协议现况及受损使用者的补偿方案均未知。