O protocolo de DeFi focado em Bitcoin Echo Protocol perdeu cerca de 77 milhões de dólares depois de um atacante explorar uma chave de administrador comprometida para criar cerca de 1.000 tokens eBTC não autorizados na blockchain Monad, segundo uma publicação de terça-feira da empresa de segurança blockchain PeckShield. Os tokens criados foram depois usados para pedir emprestados 3,45 milhões de dólares em wrapped bitcoin (WBTC) contra fundos depositados no mercado monetário e na camada de recompensas do protocolo de empréstimo Curvance, antes de os fundos serem branqueados através do Tornado Cash.
A Echo Protocol afirmou que recuperou o controlo das chaves de administrador e queimou os restantes 955 eBTC que ainda estavam na posse do atacante. A equipa pausou a funcionalidade cross-chain da implementação na Monad e concluiu uma atualização do contrato para restringir as operações afetadas, mantendo a bridge da Aptos aberta, mas suspendendo as operações de ponte como precaução, aguardando revisão.
Porque é que isto importa
O ataque surge no meio de uma série brutal para a DeFi. Nas últimas semanas, a Drift Protocol e a KelpDAO viram cada uma ser drenada de mais de 200 milhões de dólares, colocando 2025 no caminho de rivalizar com os piores anos de exploits de que há registo. A Echo é mais pequena do que essas plataformas, mas o padrão é o mesmo: uma única chave de administrador comprometida — não uma falha sofisticada de smart contract — foi o ponto de entrada, que é precisamente o modo de falha que auditores e equipas de risco têm vindo a alertar há anos. O eBTC é um wrapper sintético de Bitcoin usado para fornecer liquidez e yield denominados em BTC; numa chain tão recente como a Monad, um exploit desta dimensão é um teste de credibilidade para toda a implementação.
Impacto no mercado
A equipa da Echo enquadrou o incidente como contido — chaves de administrador recuperadas, oferta residual queimada, exposição da Curvance limitada ao empréstimo de 3,45 milhões de dólares em WBTC. Os investidores vão observar se essa posição em WBTC pode ser recuperada junto do atacante ou das carteiras misturadas via Tornado Cash, e se a implementação da Echo do lado da Aptos retoma de forma limpa. Para a Monad, um exploit de lançamento desta magnitude vai trazer escrutínio sobre a higiene das chaves de administrador e o design das bridges em todo o resto da sua stack de DeFi.
Perguntas frequentes
-
Como aconteceu o exploit à Echo Protocol?
Um atacante usou uma chave de administrador comprometida para criar cerca de 1.000 tokens eBTC não autorizados na blockchain Monad, usando-os depois para pedir emprestados 3,45 milhões de dólares em WBTC na Curvance e branquear os fundos através do Tornado Cash.
-
Quanto foi roubado à Echo Protocol?
Cerca de 77 milhões de dólares em eBTC foram criados sem autorização, dos quais 955 eBTC que ainda estavam na posse do atacante foram posteriormente queimados pela equipa da Echo depois de recuperar o controlo das chaves de administrador.
-
Que medidas tomou a Echo Protocol em resposta?
A Echo afirmou que recuperou as chaves de administrador, queimou os 955 eBTC restantes do atacante, pausou a funcionalidade cross-chain da implementação na Monad, atualizou o contrato relevante e suspendeu as operações de ponte da Aptos como precaução.
-
O mercado monetário da Curvance foi afetado?
O atacante pediu emprestados 3,45 milhões de dólares em WBTC contra fundos do mercado monetário e da camada de recompensas da Curvance, tornando a Curvance a plataforma on-chain com exposição direta aos fundos branqueados.
-
Como se enquadra isto na tendência mais ampla de exploits em DeFi?
O ataque à Echo surge a seguir aos da Drift Protocol e da KelpDAO, cada uma drenada de mais de 200 milhões de dólares nas últimas semanas, marcando uma das piores séries de exploits em DeFi de que há registo e colocando 2025 no caminho de rivalizar com anos anteriores de pico de perdas.
CoinDesk