Echo Protocol ของ Monad ถูกดูดเงินไป $76M จากการโจมตีการ Mint eBTC

Crypto เพิ่งบันทึกการแฮกครั้งใหญ่เป็นครั้งที่สามในสี่วัน Echo Protocol บนบล็อกเชน Monad ประสบกับการละเมิดความปลอดภัยขั้นวิกฤตเมื่อวันที่ 19 พฤษภาคม 2026 หลังจากผู้โจมตีเจาะคีย์ส่วนตัวของผู้ดูแลระบบในสัญญา eBTC 

ด้วยการเข้าถึงดังกล่าว แฮกเกอร์ได้มิ้นต์ eBTC จำนวน 1,000 eBTC มูลค่าประมาณ 76.64 ล้านดอลลาร์จากอากาศบางๆ เหตุการณ์นี้เกิดขึ้นหลังจากการโจมตี THORChain มูลค่า 10.7 ล้านดอลลาร์เมื่อวันที่ 15 พฤษภาคม และการดูดเงินจาก Verus-Ethereum Bridge มูลค่า 11.5 ล้านดอลลาร์เมื่อวันที่ 18 พฤษภาคม ข่าว Crypto วันนี้กำลังแสดงให้เห็นรูปแบบที่น่าวิตก และ Echo Protocol คือเหยื่อล่าสุด

การโจมตีเกิดขึ้นอย่างไร

สาเหตุหลักนั้นเรียบง่ายอย่างน่าตกใจ บทบาทผู้ดูแลระบบของสัญญา eBTC ถูกควบคุมโดยคีย์ส่วนตัวเพียงคีย์เดียวโดยไม่มีการป้องกัน multisig และไม่มี timelock เมื่อผู้โจมตีเจาะคีย์ดังกล่าวได้ ทุกอย่างก็ดำเนินไปอย่างรวดเร็ว

ผู้โจมตีได้รับ DEFAULT_ADMIN_ROLE ก่อน จากนั้นจึงเพิกถอนผู้ดูแลระบบเดิมและมอบ MINTER_ROLE ให้กับตัวเอง เมื่อได้รับสิทธิ์การมิ้นต์แล้ว พวกเขาสร้าง eBTC จำนวน 1,000 eBTC ด้วยค่าธรรมเนียม gas ที่ต่ำมาก ประมาณ 0.0003 ดอลลาร์ นั่นคือ 76.64 ล้านดอลลาร์ที่ถูกมิ้นต์ด้วยเงินน้อยกว่าเศษเสี้ยวของเซ็นต์

จากนั้นผู้โจมตีก็เคลื่อนไหวอย่างรวดเร็ว พวกเขาฝาก eBTC จำนวน 45 eBTC มูลค่าประมาณ 3.45 ล้านดอลลาร์ เข้าไปใน Curvance ซึ่งเป็นโปรโตคอลสินเชื่อที่ดำเนินการบน Monad โดยใช้หลักประกันดังกล่าว พวกเขายืม WBTC จำนวน 11.3 WBTC มูลค่าประมาณ 867,000 ดอลลาร์ จากนั้นบริดจ์ WBTC ไปยัง Ethereum แลกเป็น ETH ประมาณ 385 ETH และฝากเงินเหล่านั้นเข้า Tornado Cash เพื่อฟอกเงิน ผู้โจมตียังคงถือ eBTC จำนวน 955 eBTC มูลค่าประมาณ 73.2 ล้านดอลลาร์ในกระเป๋าเงินของพวกเขา อย่างไรก็ตาม โทเคนเหล่านั้นเป็นสินทรัพย์สังเคราะห์ที่ไม่มีหลักประกัน BTC จริงรองรับ

โปรโตคอลสองตัวล้มเหลวพร้อมกัน

ข่าว Monad เกี่ยวกับเหตุการณ์นี้ชี้แจงประเด็นสำคัญหนึ่งข้อ เชน Monad เองไม่ได้ถูกโจมตี นี่เป็นความล้มเหลวในการดำเนินงานในระดับโปรโตคอล ไม่ใช่ช่องโหว่ในระดับเชน

ความล้มเหลวด้านความปลอดภัยสองประการมาบรรจบกัน ประการแรก การควบคุมผู้ดูแลระบบด้วยคีย์เดียวของ Echo Protocol ไม่มี multisig ไม่มี timelock ไม่มีขีดจำกัดการมิ้นต์ และไม่มีการจำกัดอัตรา ประการที่สอง Curvance ยอมรับ eBTC สังเคราะห์ที่เพิ่งมิ้นต์ใหม่เป็นหลักประกันโดยไม่มีการตรวจสอบแหล่งที่มาหรือการยืนยันอุปทาน ช่องว่างด้าน composability ดังกล่าวทำให้ผู้โจมตีสามารถดึงมูลค่าจริงออกไปได้ก่อนที่ใครจะเข้าแทรกแซงได้

ขณะนี้ Curvance มีหนี้เสียจากสถานะที่มีหลักประกันไม่เพียงพอ ผู้ให้บริการสภาพคล่อง WBTC แบกรับความสูญเสียทางการเงินหลักจากเงินที่ถูกยืมไป Echo Protocol ยืนยันเหตุการณ์ดังกล่าวต่อสาธารณะและระงับธุรกรรมข้ามเชนทั้งหมดในขณะที่การสอบสวนดำเนินต่อไป

ความหมายสำหรับนักลงทุนและนักพัฒนา

สำหรับนักลงทุน การโจมตีสามครั้งรวมมูลค่ากว่า 98 ล้านดอลลาร์ในสี่วันเป็นสิ่งที่ต้องให้ความสนใจ สภาพแวดล้อมความปลอดภัยของ DeFi ในเดือนพฤษภาคม 2026 นั้นอันตรายอย่างเฉียบพลัน การโจมตีแต่ละครั้งเปิดเผยช่องโหว่ที่แตกต่างกัน ข้อบกพร่องในการใช้งาน TSS ที่ THORChain ช่องว่างในการตรวจสอบ source-amount ที่ Verus และการโจมตีผู้ดูแลระบบด้วยคีย์เดียวที่ Echo Protocol

สำหรับนักพัฒนา การแฮก Echo Protocol ให้บทเรียนสามข้อที่ไม่อาจต่อรองได้ บทบาทผู้ดูแลระบบบนสินทรัพย์ที่มิ้นต์ได้ต้องกำหนดให้ใช้ multisig Timelock ต้องปกป้องฟังก์ชันสิทธิพิเศษที่สำคัญ โปรโตคอลสินเชื่อต้องตรวจสอบแหล่งที่มาของหลักประกันและยืนยันความสมบูรณ์ของอุปทานก่อนยอมรับสินทรัพย์สังเคราะห์

ข่าว Tornado Cash เกี่ยวกับเหตุการณ์นี้เพิ่มมิติที่คุ้นเคย เครื่องมือฟอกเงินดังกล่าวยังคงทำหน้าที่เป็นเส้นทางออกที่ผู้โจมตี DeFi เลือกใช้แม้จะมีแรงกดดันด้านกฎระเบียบอย่างต่อเนื่อง อุตสาหกรรมมีความรู้ทางเทคนิคในการป้องกันการโจมตีทุกครั้งเหล่านี้ คำถามคือโปรโตคอลจะนำไปปฏิบัติหรือไม่ก่อนที่การโจมตีครั้งถัดไปจะเกิดขึ้น

The post Monad's Echo Protocol Drained for $76M in eBTC Minting Exploit appeared first on Coinfomania.