El protocolo DeFi centrado en Bitcoin Echo Protocol perdió alrededor de 77 millones de dólares después de que un atacante explotara una clave de administrador comprometida para acuñar unos 1.000 tokens eBTC no autorizados en la blockchain de Monad, según una publicación del martes de la firma de seguridad blockchain PeckShield. Los tokens acuñados se utilizaron luego para tomar prestados 3,45 millones de dólares en bitcoin envuelto (WBTC) contra los fondos depositados en el mercado monetario y la capa de recompensas del protocolo de préstamos Curvance, antes de blanquear los fondos a través de Tornado Cash.
Echo Protocol señaló que ya recuperó el control de las claves de administrador y quemó los 955 eBTC restantes que aún conservaba el atacante. El equipo pausó la funcionalidad cross-chain del despliegue en Monad y completó una actualización del contrato para restringir las operaciones afectadas, manteniendo abierto el puente de Aptos pero suspendiendo las operaciones del puente como medida de precaución a la espera de una revisión.
Por qué importa
El ataque llega en mitad de una racha durísima para DeFi. En las últimas semanas, Drift Protocol y KelpDAO fueron vaciados por más de 200 millones de dólares cada uno, situando a 2025 en camino de rivalizar con los peores años en exploits registrados. Echo es más pequeño que esas plataformas, pero el patrón es el mismo: una única clave de administrador comprometida —no un ingenioso fallo en un smart contract— fue la puerta de entrada, que es precisamente el modo de fallo que los auditores y los equipos de riesgo llevan años advirtiendo. eBTC es un envoltorio sintético de Bitcoin usado para aportar liquidez y yield denominados en BTC; en una cadena tan nueva como Monad, un exploit de este tamaño es una prueba de fuego para la credibilidad de todo el despliegue.
Impacto en el mercado
El equipo de Echo enmarcó el incidente como contenido: claves de administrador recuperadas, oferta residual quemada, exposición a Curvance limitada al préstamo de 3,45 millones en WBTC. Los inversores estarán atentos a si esa posición en WBTC puede recuperarse del atacante o de los monederos mezclados en Tornado Cash, y a si el despliegue de Echo en Aptos se reanuda sin contratiempos. Para Monad, un exploit de esta magnitud en plena etapa de lanzamiento atraerá escrutinio sobre la higiene de las claves de administrador y el diseño de los puentes en el resto de su stack DeFi.
Preguntas frecuentes
-
¿Cómo ocurrió el exploit de Echo Protocol?
Un atacante usó una clave de administrador comprometida para acuñar unos 1.000 tokens eBTC no autorizados en la blockchain de Monad, y luego los usó para tomar 3,45 millones en WBTC prestados en Curvance y blanquear los fondos a través de Tornado Cash.
-
¿Cuánto se robó de Echo Protocol?
Se acuñaron sin autorización unos 77 millones de dólares en eBTC, de los cuales los 955 eBTC que aún conservaba el atacante fueron quemados después por el equipo de Echo tras recuperar el control de las claves de administrador.
-
¿Qué ha hecho Echo Protocol en respuesta?
Echo dijo que recuperó las claves de administrador, quemó los 955 eBTC restantes del atacante, pausó la funcionalidad cross-chain en el despliegue de Monad, actualizó el contrato relevante y suspendió las operaciones del puente de Aptos como medida de precaución.
-
¿Se vio afectado el mercado monetario de Curvance?
El atacante tomó 3,45 millones en WBTC prestados contra fondos del mercado monetario y la capa de recompensas de Curvance, lo que convierte a Curvance en la plataforma on-chain con exposición directa a los fondos blanqueados.
-
¿Cómo encaja esto en la tendencia más amplia de exploits en DeFi?
El ataque a Echo llega tras los de Drift Protocol y KelpDAO, cada uno vaciado por más de 200 millones de dólares en las últimas semanas, marcando una de las peores rachas de exploits DeFi registradas y poniendo a 2025 en camino de rivalizar con los peores años previos en pérdidas.