--- title: "攻击者是如何在 Echo Protocol 上铸造出 1,000 个未经授权的 eBTC 的?" type: "News" locale: "zh-CN" url: "https://longbridge.com/zh-CN/news/286867840.md" description: "Echo Protocol 发生了一起安全漏洞事件,攻击者铸造了大约 1,000 个未经授权的 eBTC 代币,价值约为 7670 万美元。此次攻击的根源在于管理员角色被攻破,而不是智能合约的缺陷。攻击者成功创建了新代币,并试图通过去中心化借贷市场提取价值。Echo Protocol 已暂停跨链交易,并正在调查此事件,这突显了该协议管理中的多个安全弱点" datetime: "2026-05-19T06:57:30.000Z" locales: - [zh-CN](https://longbridge.com/zh-CN/news/286867840.md) - [en](https://longbridge.com/en/news/286867840.md) - [zh-HK](https://longbridge.com/zh-HK/news/286867840.md) --- # 攻击者是如何在 Echo Protocol 上铸造出 1,000 个未经授权的 eBTC 的? 专注于比特币的去中心化金融平台 Echo Protocol 遭遇了攻击,攻击者在该协议的 Monad 部署上铸造了大约 1,000 个未经授权的 eBTC 代币。 根据区块链安全公司 PeckShield 和链上分析平台 Lookonchain 的报告,攻击者创建了约 7670 万美元的合成比特币代币,然后试图通过去中心化借贷市场提取价值。 Echo Protocol 后来确认正在调查 “影响 Monad 上 Echo 桥的安全事件”,同时表示在调查期间所有跨链交易已被暂停。 https://twitter.com/EchoProtocol\_/status/2056561412554870810?s=20 Monad 的联合创始人 Keone Hon 在 X 上澄清,Monad 网络本身正常运行,并未受到影响。 安全研究人员和区块链开发者后来将事件归结为开发者 “Marioo” 所描述的与被泄露的管理员凭证相关的操作失误,而不是智能合约代码本身的缺陷。 根据开发者的说法,eBTC 合约按预期运行,但薄弱的访问控制措施使攻击者能够接管管理权限。 ## 漏洞是如何发生的 链上调查人员表示,攻击者首先在 Echo 的 eBTC 合约上将自己分配为 DEFAULT\_ADMIN\_ROLE,然后授予自己的钱包 MINTER\_ROLE,这使得他们能够在没有支持的情况下创建新代币。 在获得铸造权限后,攻击者 reportedly 移除了自己的管理员权限,以避免在链上保留可见的管理角色。 在这些控制措施到位后,攻击者铸造了价值约 7700 万美元的 1,000 个 eBTC 代币。 然而,Monad 生态系统的流动性有限,阻止了攻击者通过去中心化交易所直接转换大部分资产。 相反,Onchain Lens 和 Lookonchain 分享的数据表明,攻击者将价值约 350 万美元的 45 个 eBTC 存入 DeFi 借贷协议 Curvance 作为抵押品。 针对这些存款,攻击者借入了约 11.29 个包裹比特币(WBTC),价值约 867,700 美元。 在将借入的 WBTC 转移到以太坊后,攻击者将资产兑换成 ETH,并根据多个链上追踪账户将大约 384 到 385 个 ETH 转入加密混合器 Tornado Cash。 Lookonchain 和 DeBank 的数据显示,攻击者仍控制着价值约 7300 万美元的 955 个 eBTC,尽管 DefiPrime 的创始人 Nick Sawinyh 在一篇帖子中表示,剩余的代币实际上无法使用,因为 Monad 的 DeFi 流动性深度无法吸收虚假的供应。 Marioo 还指出了几个放大攻击影响的安全弱点,包括使用单签名管理员角色、缺乏时间锁机制、没有铸造上限或速率限制,以及在 Curvance 对新铸造的 eBTC 缺乏抵押品合理性检查。 ## 协议采取措施控制损失 在漏洞发生时,Curvance 表示检测到 Echo eBTC 市场的 “异常”,并在调查继续进行时暂停了受影响的借贷市场。 该协议表示没有迹象表明其自己的智能合约被攻破,并补充说其隔离市场架构防止了对其他借贷池的溢出。 根据 Hon 的说法,安全研究人员估计实际损失约为 816,000 美元,远低于未经授权铸造的代币的纸面价值,因为大部分虚假的 eBTC 供应无法被清算。 Echo Protocol 专注于比特币流动性聚合、流动质押、再质押和跨多个链的收益生成,尚未披露管理员凭证是如何被泄露的。 该协议表示,随着调查的进展,将通过官方渠道分享进一步的更新。 该事件增加了自年初以来记录的日益增长的 DeFi 漏洞列表。 正如 Invezz 之前报道的,KelpDAO 桥接基础设施在一次高级 RPC 中毒和分布式拒绝服务(DDoS)攻击中受到影响,导致了高达 2.92 亿美元的巨大漏洞。 这篇文章的标题是《攻击者如何在 Echo Protocol 上铸造 1,000 个未经授权的 eBTC?》首次出现在 Invezz 上。 ### 相关股票 - [HUT.US](https://longbridge.com/zh-CN/quote/HUT.US.md) - [GBTC.US](https://longbridge.com/zh-CN/quote/GBTC.US.md) - [COIN.US](https://longbridge.com/zh-CN/quote/COIN.US.md) - [RIOT.US](https://longbridge.com/zh-CN/quote/RIOT.US.md) - [BITF.US](https://longbridge.com/zh-CN/quote/BITF.US.md) - [ABTC.US](https://longbridge.com/zh-CN/quote/ABTC.US.md) - [BKCH.US](https://longbridge.com/zh-CN/quote/BKCH.US.md) - [BITO.US](https://longbridge.com/zh-CN/quote/BITO.US.md) - [RIOX.US](https://longbridge.com/zh-CN/quote/RIOX.US.md) - [EZBC.US](https://longbridge.com/zh-CN/quote/EZBC.US.md) - [BRRR.US](https://longbridge.com/zh-CN/quote/BRRR.US.md) - [BTCO.US](https://longbridge.com/zh-CN/quote/BTCO.US.md) - [IBIT.US](https://longbridge.com/zh-CN/quote/IBIT.US.md) - [MRAL.US](https://longbridge.com/zh-CN/quote/MRAL.US.md) - [BTCW.US](https://longbridge.com/zh-CN/quote/BTCW.US.md) - [ETH.US](https://longbridge.com/zh-CN/quote/ETH.US.md) - [EETH.US](https://longbridge.com/zh-CN/quote/EETH.US.md) - [BITB.US](https://longbridge.com/zh-CN/quote/BITB.US.md) ## 相关资讯与研究 - [Echo Protocol 在 Monad 平台上的 eBTC 铸造攻击中遭受了 7600 万美元的损失](https://longbridge.com/zh-CN/news/287081018.md) - [Bee Network celebrates its sixth "Bee's Day": opening 100,000 KYC slots and betting on AI games and prediction markets.](https://longbridge.com/zh-CN/news/287029478.md) - [诉讼阴霾消散!马斯克告败,OpenAI 扫清最大障碍直指 “世纪 IPO”](https://longbridge.com/zh-CN/news/287018534.md) - [趋境科技 Pre-A 轮拿数亿,抢滩 Token 基础服务](https://longbridge.com/zh-CN/news/287021057.md) - [Altman 拿 Token 换股权只够烧 45 天,20 亿 Token 捐母校只值 100 块:Token 真成 “钱” 了,谁更赚?](https://longbridge.com/zh-CN/news/287035294.md)