استغلال بروتوكول إيكو على منصة مونايد يكبد خسائر بقيمة 76 مليون دولار في صك eBTC
سجلت العملات المشفرة للتو ثالث عملية اختراق كبيرة خلال أربعة أيام. تعرض بروتوكول إيكو على سلسلة مونايد لخرق أمني حاد في 19 مايو 2026.
سجلت العملات المشفرة للتو ثالث عملية اختراق كبيرة خلال أربعة أيام. تعرض بروتوكول إيكو على سلسلة مونايد لخرق أمني حاد في 19 مايو 2026، بعد أن تمكن مهاجم من اختراق المفتاح الخاص لمدير عقد eBTC.
😨又来?Echo Protocol 被黑:私钥裸奔,7600万美元凭空铸出
Echo Protocol 在 Monad 链上遭到攻击,eBTC 合约管理员私钥被盗,黑客借此授权自己无限铸币权限。
黑客在 Monad 上铸造了 1000 枚 eBTC(约 7664 万美元),将其中 45 枚存入 Curvance 作为抵押,借出 11.3 枚 WBTC(约 86.7… https://t.co/pUKPYxcvTq pic.twitter.com/68PpV2x2Qi
— PANews丨APP全面升级 (@PANews) May 19, 2026
باستخدام هذا الوصول، قام المهاجم بصك 1000 eBTC بقيمة تقارب 76.64 مليون دولار من العدم. تأتي هذه الحادثة بعد استغلال بقيمة 10.7 مليون دولار في THORChain في 15 مايو واستغلال بقيمة 11.5 مليون دولار في جسر Verus-Ethereum في 18 مايو. تقدم أخبار العملات المشفرة اليوم نمطًا قاتمًا، وبروتوكول إيكو هو أحدث ضحاياه.
كيف حدث الهجوم
كانت السبب الجذري بسيطًا بشكل مدمر. كان دور مدير عقد eBTC تحت سيطرة مفتاح خاص واحد دون حماية متعددة التوقيع ودون قفل زمني. بمجرد أن تمكن المهاجم من اختراق ذلك المفتاح، تبع كل شيء بسرعة.
حصل المهاجم أولاً على DEFAULT_ADMIN_ROLE. ثم قام بإلغاء دور المدير الأصلي ومنح نفسه MINTER_ROLE. مع تأمين سلطة الصك، قام بإنشاء 1000 eBTC مقابل رسوم غاز ضئيلة، حوالي 0.0003 دولار. أي 76.64 مليون دولار تم صكها بأقل من جزء من سنت.
ثم تحرك المهاجم بسرعة. أودع 45 eBTC، بقيمة تقارب 3.45 مليون دولار، في Curvance، وهو بروتوكول إقراض يعمل على مونايد. باستخدام ذلك الضمان، اقترض 11.3 WBTC بقيمة تقارب 867,000 دولار. قام بنقل WBTC إلى إيثيريوم، واستبدله بحوالي 385 ETH، وأودع تلك الأموال في Tornado Cash لغسل العائدات. لا يزال المهاجم يحتفظ بـ 955 eBTC، بقيمة تقارب 73.2 مليون دولار، في محفظته. ومع ذلك، فإن تلك الرموز هي أصول اصطناعية غير مدعومة دون أي ضمان حقيقي من BTC خلفها.
فشل بروتوكولين في وقت واحد
توضح أخبار مونايد حول هذه الحادثة نقطة مهمة واحدة. لم تتعرض سلسلة مونايد نفسها للاختراق. كان هذا فشلًا تشغيليًا على مستوى البروتوكول، وليس ثغرة على مستوى السلسلة.
تقاطعت فشلتان أمنيتان. أولاً، كان التحكم الإداري في بروتوكول إيكو يعتمد على مفتاح واحد دون حماية متعددة التوقيع، دون قفل زمني، دون حد للصك، ودون حدود للرسوم. ثانيًا، قبلت Curvance eBTC الاصطناعية التي تم صكها حديثًا كضمان دون أي فحص لمصدرها أو تحقق من سلامة العرض. سمح هذا الفجوة في التركيب للمهاجم باستخراج قيمة حقيقية قبل أن يتمكن أي شخص من التدخل.
تواجه Curvance الآن ديونًا سيئة من المركز غير المدعوم. يتحمل مزودو السيولة WBTC الخسارة المالية الرئيسية من الأموال المقترضة. أكد بروتوكول إيكو الحادث علنًا وأوقف جميع المعاملات عبر السلاسل بينما تستمر التحقيقات.
ما معنى هذا للمستثمرين والمطورين
بالنسبة للمستثمرين، تتطلب ثلاث عمليات استغلال تجاوزت قيمتها 98 مليون دولار خلال أربعة أيام الانتباه. إن بيئة أمان DeFi في مايو 2026 خطيرة بشكل حاد. كل هجوم كشف عن ثغرة مختلفة. خطأ في تنفيذ TSS في THORChain، فجوة في التحقق من كمية المصدر في Verus، واختراق مفتاح واحد في بروتوكول إيكو.
بالنسبة للمطورين، يقدم اختراق بروتوكول إيكو ثلاث دروس لا تقبل التفاوض. يجب أن تتطلب الأدوار الإدارية على الأصول القابلة للصك حماية متعددة التوقيع. يجب أن تحمي الأقفال الزمنية الوظائف الحرجة ذات الامتيازات. يجب على بروتوكولات الإقراض فحص مصادر الضمان والتحقق من سلامة العرض قبل قبول الأصول الاصطناعية.
تضيف أخبار Tornado Cash حول هذه الحادثة بعدًا مألوفًا. لا يزال أداة غسل الأموال تظل طريق الخروج المفضل لمهاجمي DeFi على الرغم من الضغط التنظيمي المستمر. لدى الصناعة المعرفة التقنية لمنع كل واحدة من هذه الهجمات. السؤال هو ما إذا كانت البروتوكولات ستنفذ ذلك قبل أن تضرب العملية الاستغلال التالية.
تابعنا على Google News
احصل على أحدث رؤى وتحديثات العملات المشفرة.
