分散型金融(DeFi)プラットフォームのEcho Protocolは、攻撃者が管理者キーを侵害したことにより、Monadネットワークのデプロイ段階でセキュリティ侵害を受けました。
* 重要なポイント:
*
* * 5月18日(月)に管理者キーのエクスプロイトがEcho Protocolを襲い、資産が$81万6,000分流出する事態につながりました。
* * Monad上での流動性が低かったため市場は守られ、偽のeBTCのeBTC mintによる実際の損失は限定的でした(7,670万ドル相当)。
* * Echo Protocolは、今後の不手際を止めるためにブリッジのセキュリティとコントラクトの権限管理をアップグレードしています。
*
-
## 流動性の制限が大規模な損失を防ぐ
Echo Protocolはビットコインの流動性に注力する分散型金融(DeFi)プラットフォームで、5月18日(月)にセキュリティエクスプロイトの被害を受けました。攻撃者が管理者キーを侵害し、数百万ドル規模の無許可の合成資産をeBTC tokensとしてミントすることに成功したのが原因です。
Echo ProtocolがMonadブロックチェーンネットワーク上で実行したデプロイ内で発生した今回の侵害では、まずハッカーが推定7,670万ドル相当の価値を持つ1,000 eBTCトークン(eBTC tokens)をミントしました。しかし、局所的な分散型レンディング市場には、偽トークンの大量流入を吸収したり換金したりするのに十分な深い流動性がなかったため、実際に確定した損失は約$81万6,000にとどまりました。
ブロックチェーン・セキュリティ企業PeckshieldとLookonchainによる報告によると、攻撃者は侵害された管理者権限を使って、自身のデジタルウォレットにミント権限を付与したとのことです。1,000 eBTCトークンを生成した後、ハッカーは担保として機能させるため、分散型レンディングプロトコルCurvanceに45 eBTCを入金しました。
この担保に対し、攻撃者は11.29 WBTCを借りることに成功し、その後それらの資産をEthereumネットワークへブリッジしました。さらにether(ETH)にスワップし、約385 ETHをTornado Cashへ送金しました。
Echo Protocolは公式のソーシャルメディア上でセキュリティインシデントを確認し、Monad上のブリッジ基盤がさらなる無許可の活動を防ぐため一時的に停止されたと述べました。
「当社の調査では、この問題はMonadデプロイに影響を与えた侵害済みの管理者キーに起因していることが示されています」とEcho Protocolは声明で述べています。
開発者は、今回のエクスプロイトは、基盤となるスマートコントラクトのコードそのものの欠陥というより、キー管理に関する運用上およびアクセス制御上の失敗に起因していると指摘しました。その後、プロトコルチームは管理者キーを取り戻し、攻撃者のウォレットに放置されて使用不能になっていた残り955 eBTCトークン(eBTC tokens)を焼却(バーン)することで被害を封じ込めに動きました。
Monadブロックチェーンの共同創業者であるKeone Honは、ネットワークの中核インフラは完全に安全なままだと明確にしました。
「Monadは影響を受けておらず、通常どおり動作を続けています」とHonは述べ、問題はアプリケーションとそのブリッジデプロイに厳密に限定されていたと付け加えました。
資金を引き出されたレンディングプロトコルであるCurvanceも予防措置として、影響を受けたeBTC marketを停止しました(eBTC market)。Curvanceの関係者は、隔離された市場のアーキテクチャによって、エクスプロイトが他のレンディング・プールへ波及することを防げたと強調し、自社のスマートコントラクトが侵害された兆候はないと報告しています。
プラットフォームは、Aptosネットワーク上のデプロイは影響を受けていないと説明しました。AptosのaBTCとMonadのeBTC(eBTC on Monad)は、完全に別個で相互運用できない資産として動作しています。
Echo Protocolは、今後の不手際を防ぐためにEthereum Virtual Machineのブリッジ・コントラクトをアップグレードし、権限管理メカニズムを引き締めていると述べました。このインシデントは今月、分散型金融セクターに影響を与えている一連の管理者およびインフラ関連エクスプロイトの中で最新のものです。
