La plateforme de finance décentralisée Echo Protocol a subi une faille de sécurité lors de son déploiement sur le réseau Monad, après qu’un attaquant a compromis une clé administrative.
* Points clés :
*
* * Le lundi 18 mai, une exploitation de clé admin a frappé Echo Protocol, entraînant une brèche d’actifs d’une valeur de 816 000 dollars.
* * Une liquidité faible sur Monad a protégé le marché, limitant les pertes réelles liées à un faux mint eBTC de 76,7 millions de dollars.
* * Echo Protocol met désormais à niveau la sécurité de son pont (bridge) ainsi que les contrôles de permission des contrats afin d’empêcher les défaillances futures.
*
-
## Les limites de liquidité empêchent des pertes massives
Echo Protocol, une plateforme de finance décentralisée (DeFi) axée sur la liquidité du bitcoin, a été touchée par un exploit de sécurité le lundi 18 mai, après qu’un attaquant a compromis une clé administrative afin de créer des millions de dollars d’actifs synthétiques non autorisés.
La brèche, survenue lors du déploiement d’Echo Protocol au sein du réseau blockchain Monad, a d’abord permis au pirate de frapper 1 000 tokens eBTC, avec une valeur estimée à 76,7 millions de dollars. Toutefois, les marchés locaux de prêt décentralisé ne disposant pas de la liquidité profonde nécessaire pour absorber ou encaisser l’afflux massif de tokens factices, les pertes réellement réalisées ont été limitées à environ 816 000 dollars.
D’après des signalements de sociétés de sécurité blockchain Peckshield et Lookonchain, l’attaquant a utilisé l’accès administratif compromis pour accorder à sa propre adresse de portefeuille numérique des privilèges de frappe. Après avoir généré les 1 000 tokens eBTC, le pirate a déposé 45 eBTC dans le protocole de prêt décentralisé Curvance afin de servir de collatéral.
Sur la base de ce collatéral, l’attaquant a réussi à emprunter 11,29 WBTC, puis à transférer ces actifs vers le réseau Ethereum (à l’aide du pont), à les échanger contre de l’ether (ETH), et à canaliser environ 385 ETH vers Tornado Cash.
Echo Protocol a confirmé l’incident de sécurité via ses canaux officiels de médias sociaux, indiquant que l’infrastructure de pont sur Monad avait été temporairement suspendue pour empêcher toute activité non autorisée supplémentaire.
« Notre enquête indique que le problème provient d’une clé admin compromise affectant le déploiement sur Monad », a déclaré Echo Protocol dans un communiqué.
Les développeurs ont noté que l’exploit découlait d’un échec opérationnel et de contrôle d’accès concernant la gestion des clés, plutôt que d’une faille dans le code du smart contract sous-jacent lui-même. Depuis, l’équipe du protocole a récupéré le contrôle de la clé administrative et cherche à contenir les dégâts en brûlant les 955 tokens eBTC restants, laissés sans utilité dans le portefeuille de l’attaquant.
Keone Hon, cofondateur de la blockchain Monad, a précisé que l’infrastructure de base du réseau restait entièrement sécurisée.
« Monad n’a pas été affecté et continue de fonctionner normalement », a déclaré Hon, ajoutant que le problème était isolé strictement à l’application et à son déploiement de pont (bridge).
Curvance, le protocole de prêt d’où le hacker a extrait les fonds, a également suspendu le marché eBTC concerné par mesure de précaution. Des représentants de Curvance ont souligné que l’architecture de marché isolée a effectivement empêché l’exploit de se propager vers d’autres pools de prêt, et qu’aucun signe n’indiquait que ses propres smart contracts avaient été compromis.
La plateforme a indiqué que son déploiement sur le réseau Aptos reste inchangé, car aBTC sur Aptos et eBTC sur Monad fonctionnent comme des actifs entièrement distincts et non interopérables.
Echo Protocol a déclaré qu’il met à niveau ses contrats de bridge de la machine virtuelle Ethereum et qu’il renforce ses mécanismes de contrôle des permissions pour prévenir de futurs manquements. L’incident marque la dernière occurrence d’une série d’exploits liés aux aspects administratifs et à l’infrastructure ayant affecté le secteur de la finance décentralisée ce mois-ci.
