Monad’ın Echo Protokolü, eBTC Minting Saldırısında 76 Milyon Dolar Kaybetti

Kripto para, dört gün içinde üçüncü büyük saldırısını kaydetti. Echo Protokolü, Monad blokzincirinde 19 Mayıs 2026’da kritik bir güvenlik ihlali yaşadı. Bir saldırgan, eBTC sözleşmesinin yönetici özel anahtarını ele geçirdi.

😨又来？Echo Protocol 被黑：私钥裸奔，7600万美元凭空铸出

Echo Protocol 在 Monad 链上遭到攻击，eBTC 合约管理员私钥被盗，黑客借此授权自己无限铸币权限。

黑客在 Monad 上铸造了 1000 枚 eBTC（约 7664 万美元），将其中 45 枚存入 Curvance 作为抵押，借出 11.3 枚 WBTC（约 86.7… https://t.co/pUKPYxcvTq pic.twitter.com/68PpV2x2Qi

— PANews丨APP全面升级 (@PANews) May 19, 2026

Bu erişimi kullanarak, saldırgan 1,000 eBTC’yi yaklaşık 76.64 milyon dolar değerinde havadan üretti. Olay, 15 Mayıs’taki 10.7 milyon dolarlık THORChain saldırısı ve 18 Mayıs’taki 11.5 milyon dolarlık Verus-Ethereum Köprüsü ihlali sonrasında gerçekleşti. Bugünkü kripto haberleri, karamsar bir desen sunuyor ve Echo Protokolü bunun en son kurbanı.

Saldırının Gelişimi

Temel neden son derece basitti. eBTC sözleşmesinin yönetici rolü, çoklu imza koruması olmadan ve zaman kilidi olmadan tek bir özel anahtar tarafından kontrol ediliyordu. Saldırgan o anahtarı ele geçirdiğinde, her şey hızla gelişti.

Saldırgan önce DEFAULT_ADMIN_ROLE’u elde etti. Ardından, orijinal yöneticiyi iptal etti ve kendisine MINTER_ROLE’u verdi. Minting yetkisini güvence altına aldıktan sonra, yaklaşık 0.0003 dolarlık önemsiz gaz ücretleriyle 1,000 eBTC üretti. Bu, 76.64 milyon doların bir kısmından daha az bir maliyetle üretilmiş oldu.

Saldırgan hızlı hareket etti. 45 eBTC’yi, yaklaşık 3.45 milyon dolar değerinde, Monad üzerinde faaliyet gösteren bir kredi protokolü olan Curvance’a yatırdı. Bu teminatı kullanarak, yaklaşık 867,000 dolar değerinde 11.3 WBTC ödünç aldı. WBTC’yi Ethereum’a köprüledi, yaklaşık 385 ETH karşılığında takas etti ve bu fonları Tornado Cash‘e yatırarak gelirlerini akladı. Saldırgan hala cüzdanında yaklaşık 73.2 milyon dolar değerinde 955 eBTC tutuyor. Ancak, bu token’lar arkasında gerçek BTC teminatı olmayan desteklenmeyen sentetik varlıklardır.

İki Protokol Aynı Anda Başarısız Oldu

Bu olayla ilgili Monad haberleri, önemli bir noktayı netleştiriyor. Monad zinciri kendisi ihlal edilmedi. Bu, protokol seviyesinde bir operasyonel başarısızlıktı, zincir seviyesinde bir güvenlik açığı değildi.

İki güvenlik açığı bir araya geldi. İlk olarak, Echo Protokolü’nün tek anahtarlı yönetim kontrolü, çoklu imza, zaman kilidi, minting sınırı ve oran limitleri olmadan çalışıyordu. İkincisi, Curvance, yeni üretilen sentetik eBTC’yi teminat olarak kabul etti, ancak herhangi bir köken taraması veya arz doğrulaması yapmadı. Bu bileşen boşluğu, saldırganın kimse müdahale etmeden gerçek değer çıkarmasına olanak tanıdı.

Curvance şimdi yetersiz teminatlı pozisyondan dolayı kötü borçla baş başa kaldı. WBTC likidite sağlayıcıları, ödünç alınan fonlardan kaynaklanan ana mali kaybı üstleniyor. Echo Protokolü olayı kamuya doğruladı ve soruşturma devam ederken tüm çapraz zincir işlemlerini askıya aldı.

Bu, Yatırımcılar ve Geliştiriciler İçin Ne Anlama Geliyor

Yatırımcılar için, dört gün içinde toplam 98 milyon dolardan fazla üç ihlal dikkat çekiyor. Mayıs 2026’da DeFi güvenlik ortamı son derece tehlikeli. Her saldırı farklı bir güvenlik açığını ortaya çıkardı. THORChain’deki bir TSS uygulama hatası, Verus’taki bir kaynak-miktar doğrulama açığı ve Echo Protokolü’ndeki tek anahtarlı yönetim ihlali.

Geliştiriciler için, Echo Protokolü saldırısı üç müzakere edilemez ders sunuyor. Mint edilebilir varlıklardaki yönetici rolleri çoklu imza gerektirmelidir. Zaman kilitleri, kritik ayrıcalıklı işlevleri korumalıdır. Kredi protokolleri, sentetik varlıkları kabul etmeden önce teminat kökenlerini taramalı ve arz bütünlüğünü doğrulamalıdır.

Tornado Cash ile ilgili bu olay, tanıdık bir boyut ekliyor. Aklama aracı, devam eden düzenleyici baskılara rağmen DeFi saldırganları için tercih edilen çıkış yolu olmaya devam ediyor. Sektör, bu saldırıların her birini önlemek için teknik bilgiye sahip. Soru, protokollerin bir sonraki ihlal gerçekleşmeden önce bunu uygulayıp uygulamayacağıdır.