¿Cómo acuñó un atacante 1,000 eBTC no autorizados en Echo Protocol?

La plataforma DeFi centrada en Bitcoin Echo Protocol sufrió un exploit después de que un atacante acuñara aproximadamente 1,000 tokens eBTC no autorizados en la implementación Monad del protocolo.

Según la firma de seguridad blockchain PeckShield y la plataforma de análisis on-chain Lookonchain, el atacante creó alrededor de 76,7 millones USD (aprox. 66,9 millones €) en tokens sintéticos de Bitcoin antes de intentar extraer valor a través de mercados de préstamos descentralizados.

Echo Protocol confirmó más tarde que estaba investigando “un incidente de seguridad que afecta al Echo bridge en Monad”, y afirmó que todas las transacciones entre cadenas habían sido suspendidas durante la investigación.

Keone Hon, cofundador de Monad, aclaró en X que la red Monad en sí operaba con normalidad y no había sido comprometida.

Investigadores de seguridad y desarrolladores blockchain más tarde redujeron el incidente a lo que el desarrollador “Marioo” describió como una falla operativa vinculada a credenciales de administrador comprometidas, en vez de un fallo en el propio código del contrato inteligente. 

Según el desarrollador, el contrato eBTC funcionó según lo previsto, pero medidas débiles de control de acceso permitieron que el atacante tomara el control de los permisos administrativos.

Cómo se desarrolló la explotación

Investigadores on-chain dijeron que el atacante primero se asignó a sí mismo el DEFAULT_ADMIN_ROLE en el contrato eBTC de Echo antes de conceder a su wallet el MINTER_ROLE, lo que habilitó la creación de nuevos tokens sin respaldo. 

Tras obtener privilegios de acuñación, el atacante supuestamente eliminó sus propios permisos de administrador para evitar mantener un rol administrativo visible on-chain.

Con esos controles en su lugar, el explotador acuñó 1,000 tokens eBTC por un valor aproximado en papel de 77 millones USD (aprox. 67,2 millones €). 

Sin embargo, la limitada liquidez en el ecosistema Monad impidió que el atacante convirtiera la mayor parte de los activos directamente a través de exchanges descentralizados.

En su lugar, datos compartidos por Onchain Lens y Lookonchain mostraron que el atacante depositó 45 eBTC, valorados en aproximadamente 3,5 millones USD (aprox. 3 millones €), en el protocolo de préstamos DeFi Curvance como colateral. 

Frente a esos depósitos, el atacante pidió prestado aproximadamente 11.29 wrapped Bitcoin (WBTC) por un valor de unos $867,700.

Tras puentear los WBTC prestados a Ethereum, el explotador intercambió los activos por ETH y transfirió aproximadamente entre 384 y 385 ETH al mezclador de criptomonedas Tornado Cash, según varias cuentas de seguimiento on-chain.

Datos de Lookonchain y DeBank indicaron que el atacante aún controla 955 eBTC por un valor de alrededor de 73 millones USD (aprox. 63,7 millones €), aunque el fundador de DefiPrime, Nick Sawinyh, dijo en un post que los tokens restantes eran efectivamente inutilizables porque la profundidad de liquidez DeFi de Monad no podía absorber la oferta falsa.

Marioo también señaló varias debilidades de seguridad que amplificaron el impacto del ataque, incluyendo el uso de un rol de administrador con firma única, la ausencia de un mecanismo de timelock, la falta de un tope de acuñación o limitador de tasa, y la carencia de comprobaciones de validez del colateral en Curvance para eBTC recién acuñados.

Protocolos actúan para contener el daño

Mientras se desarrollaba el exploit, Curvance dijo que detectó una “anomalía” en el mercado eBTC de Echo y pausó el mercado de préstamos afectado mientras continuaban las investigaciones. 

El protocolo afirmó que no había indicios de que sus propios contratos inteligentes hubieran sido vulnerados, y añadió que su arquitectura de mercados aislados evitó el contagio a otras pools de préstamos.

Según Hon, los investigadores de seguridad estimaron pérdidas realizadas en torno a $816,000, sustancialmente por debajo del valor en papel de la acuñación no autorizada porque la mayor parte de la oferta falsa de eBTC no pudo ser liquidada.

Echo Protocol, que se centra en la agregación de liquidez de Bitcoin, liquid staking, restaking y generación de rendimiento en múltiples cadenas, aún no ha revelado cómo se comprometieron las credenciales de administrador. 

El protocolo dijo que se compartirían más actualizaciones a través de los canales oficiales a medida que avance la investigación.

El incidente se ha sumado a una creciente lista de exploits de DeFi registrados desde el comienzo del año.

Como informó previamente Invezz, la infraestructura del puente de KelpDAO fue comprometida en un avanzado envenenamiento de RPC y un ataque de denegación de servicio distribuido (DDoS) que resultó en un exploit masivo de 292 millones USD (aprox. 254,7 millones €).