Giao thức Echo của Monad bị rút $76 triệu trong cuộc tấn công khai thác eBTC

Thế giới tiền điện tử vừa ghi nhận cuộc tấn công lớn thứ ba trong bốn ngày. Giao thức Echo trên blockchain Monad đã gặp phải một lỗ hổng bảo mật nghiêm trọng vào ngày 19 tháng 5 năm 2026, sau khi một kẻ tấn công chiếm đoạt khóa riêng của quản trị hợp đồng eBTC.

😨又来？Echo Protocol 被黑：私钥裸奔，7600万美元凭空铸出

Echo Protocol 在 Monad 链上遭到攻击，eBTC 合约管理员私钥被盗，黑客借此授权自己无限铸币权限。

黑客在 Monad 上铸造了 1000 枚 eBTC（约 7664 万美元），将其中 45 枚存入 Curvance 作为抵押，借出 11.3 枚 WBTC（约 86.7… https://t.co/pUKPYxcvTq pic.twitter.com/68PpV2x2Qi

— PANews丨APP全面升级 (@PANews) May 19, 2026

Sử dụng quyền truy cập đó, kẻ tấn công đã khai thác 1.000 eBTC trị giá khoảng 76,64 triệu USD từ không khí. Sự cố này diễn ra sau cuộc tấn công trị giá 10,7 triệu USD THORChain vào ngày 15 tháng 5 và cuộc rút tiền trị giá 11,5 triệu USD Verus-Ethereum Bridge vào ngày 18 tháng 5. Tin tức tiền điện tử hôm nay đang cho thấy một mô hình u ám, và Giao thức Echo là nạn nhân mới nhất.

Cách thức cuộc tấn công diễn ra

Nguyên nhân gốc rễ thật sự đơn giản. Vai trò quản trị của hợp đồng eBTC được kiểm soát bởi một khóa riêng duy nhất mà không có bảo vệ multisig và không có thời gian khóa. Khi kẻ tấn công chiếm đoạt được khóa đó, mọi thứ diễn ra nhanh chóng.

Kẻ tấn công trước tiên đã nhận được DEFAULT_ADMIN_ROLE. Sau đó, họ đã thu hồi quyền quản trị ban đầu và tự cấp cho mình MINTER_ROLE. Với quyền hạn khai thác đã được đảm bảo, họ đã tạo ra 1.000 eBTC với phí gas không đáng kể, khoảng 0,0003 USD. Đó là 76,64 triệu USD được khai thác với chi phí chưa đến một phần nhỏ của một xu.

Kẻ tấn công sau đó đã hành động nhanh chóng. Họ đã gửi 45 eBTC, trị giá khoảng 3,45 triệu USD, vào Curvance, một giao thức cho vay hoạt động trên Monad. Sử dụng tài sản thế chấp đó, họ đã vay 11,3 WBTC trị giá khoảng 867.000 USD. Họ đã chuyển WBTC sang Ethereum, đổi nó lấy khoảng 385 ETH, và gửi số tiền đó vào Tornado Cash để rửa tiền. Kẻ tấn công vẫn giữ 955 eBTC, trị giá khoảng 73,2 triệu USD, trong ví của họ. Tuy nhiên, những token đó là tài sản tổng hợp không có tài sản BTC thực sự nào làm đảm bảo.

Hai giao thức thất bại đồng thời

Tin tức về Monad xung quanh sự cố này làm rõ một điểm quan trọng. Chuỗi Monad không bị xâm phạm. Đây là một thất bại trong hoạt động ở cấp độ giao thức, không phải là một lỗ hổng ở cấp độ chuỗi.

Hai thất bại bảo mật đã hội tụ. Thứ nhất, việc kiểm soát quản trị bằng khóa đơn của Giao thức Echo không có multisig, không có thời gian khóa, không có giới hạn khai thác và không có giới hạn tỷ lệ. Thứ hai, Curvance đã chấp nhận eBTC tổng hợp mới được khai thác làm tài sản thế chấp mà không có bất kỳ kiểm tra nguồn gốc nào hoặc xác minh nguồn cung. Khoảng trống trong khả năng kết hợp đó đã cho phép kẻ tấn công rút ra giá trị thực trước khi bất kỳ ai có thể can thiệp.

Curvance hiện đang phải đối mặt với khoản nợ xấu từ vị thế không đủ tài sản thế chấp. Các nhà cung cấp thanh khoản WBTC gánh chịu tổn thất tài chính chính từ số tiền đã vay. Giao thức Echo đã xác nhận sự cố công khai và tạm dừng tất cả các giao dịch xuyên chuỗi trong khi cuộc điều tra tiếp tục.

Điều này có ý nghĩa gì đối với các nhà đầu tư và nhà phát triển

Đối với các nhà đầu tư, ba cuộc tấn công tổng cộng hơn 98 triệu USD trong bốn ngày cần được chú ý. Môi trường bảo mật DeFi vào tháng 5 năm 2026 đang cực kỳ nguy hiểm. Mỗi cuộc tấn công đã phơi bày một lỗ hổng khác nhau. Một lỗi thực hiện TSS tại THORChain, một khoảng trống xác thực số lượng nguồn tại Verus, và một sự xâm phạm quản trị bằng khóa đơn tại Giao thức Echo.

Đối với các nhà phát triển, cuộc tấn công vào Giao thức Echo mang lại ba bài học không thể thương lượng. Vai trò quản trị trên các tài sản có thể khai thác phải yêu cầu multisig. Thời gian khóa phải bảo vệ các chức năng đặc quyền quan trọng. Các giao thức cho vay phải kiểm tra nguồn gốc tài sản thế chấp và xác minh tính toàn vẹn của nguồn cung trước khi chấp nhận các tài sản tổng hợp.

Tin tức về Tornado Cash xung quanh sự cố này thêm một khía cạnh quen thuộc. Công cụ rửa tiền này vẫn tiếp tục là lối thoát ưa thích của các kẻ tấn công DeFi mặc dù đang chịu áp lực quy định. Ngành công nghiệp có kiến thức kỹ thuật để ngăn chặn mọi cuộc tấn công như vậy. Câu hỏi là liệu các giao thức có thực hiện điều đó trước khi cuộc tấn công tiếp theo xảy ra hay không.