A camada de infraestrutura de agregação de liquidez e rendimento de Bitcoin, Echo Protocol, foi atingida por um exploit em sua implementação na blockchain Monad, depois que um hacker cunhou 1.000 eBTC não autorizados, avaliados em aproximadamente US$ 77 milhões, dos quais cerca de US$ 816.000 foram lavados através do misturador de moedas Tornado Cash.
A empresa de segurança em blockchain PeckShield sinalizou o incidente, citando o investigador on-chain dcfgod, observando que o invasor “cunhou 1.000 eBTC (US$ 76,7M) e, utilizando o fluxo testado, depositou 45 eBTC (US$ 3,45M) na Curvance.”
O hacker então pegou emprestado aproximadamente 11,29 WBTC (US$ 867.700) contra o colateral, transferiu os WBTC para o Ethereum, os trocou por ETH e enviou 384 ETH (cerca de US$ 821.700) para o Tornado Cash.
O Echo Protocol confirmou a violação em um tweet na terça-feira, dizendo que sua investigação “indica que o problema se originou de uma chave de administrador comprometida, afetando a implementação Monad.”
“Com base nas descobertas atuais, aproximadamente US$ 816 mil foram impactados na Monad. A própria rede Monad não foi impactada e continua a operar normalmente”, disse a equipe, acrescentando que “recuperou com sucesso o controle de nossas chaves de administrador e queimou os 955 eBTC restantes que estavam em posse do invasor.”
O exploit segue um padrão familiar de chaves de administrador que tem atormentado protocolos cross-chain, onde uma única credencial comprometida pode desbloquear privilégios de cunhagem em toda uma implementação.
O Echo afirmou que o incidente “parece isolado na Monad”, sem “nenhuma evidência de comprometimento na Aptos.”
A equipe observou que o aBTC na Aptos e o eBTC na Monad são ativos separados e não interligáveis por pontes, com a exposição atual da Aptos limitada a aproximadamente US$ 71.000 em mercados de empréstimo Echo e pools de liquidez Hyperion, e nenhuma perda confirmada de fundos nessa cadeia.
eBTC é a representação de Bitcoin “wrapped” do Echo na Monad, enquanto aBTC é seu equivalente na Aptos, ambos projetados para trazer liquidez de BTC para aplicações DeFi nessas cadeias.
Misha Putiatin, cofundador da Symbiotic e da empresa de segurança de contratos inteligentes Statemind, disse ao Decrypt que a indústria deve esperar mais incidentes desse tipo à medida que os protocolos dependem mais de componentes off-chain.
“À medida que os protocolos DeFi se tornam cada vez mais dependentes de infraestrutura off-chain, é provável que vejamos um ressurgimento de ataques estilo ‘Web2.5’ visando gerenciamento centralizado de chaves, bancos de dados e infraestrutura operacional”, disse Putiatin.
Chamando-o de “ato de equilíbrio”, ele disse que sistemas com “gerenciamento mais complexo” se tornam cada vez mais vulneráveis a ataques de engenharia social e de infraestrutura em comparação com “sistemas totalmente sem permissão.”
Putiatin disse que os componentes centralizados e off-chain dos protocolos DeFi têm sido historicamente “tratados como áreas de risco secundárias”, mas espera que isso mude.
“Provavelmente veremos muito mais foco na infraestrutura operacional, gerenciamento de chaves e estruturas de segurança interna, semelhante a como as auditorias de contratos inteligentes se tornaram padrão após o ciclo de exploits de 2021”, disse ele.
Medidas de precaução
O Echo pausou a funcionalidade cross-chain para a implementação Monad e concluiu uma atualização dos contratos Monad relevantes “para restringir operações afetadas e fortalecer o controle sobre funções sensíveis.”
A ponte da Aptos foi totalmente pausada como precaução, apesar de nenhum impacto observado, e o Echo Aptos Lending foi suspenso por motivos de segurança.
A equipe disse que também está atualizando suas implementações de ponte da série EVM “para fortalecer ainda mais os controles cross-chain e reduzir o risco operacional.”
Ataques a DeFi
A violação do Echo Protocol aumenta a pressão sobre a segurança DeFi após exploits recentes na THORChain e TrustedVolumes, bem como o ataque de US$ 293 milhões, ligado à infraestrutura, no mês passado contra a KelpDAO, atribuído ao Lazarus Group da Coreia do Norte.
O Echo disse que está realizando uma revisão abrangente da implementação Monad afetada e da infraestrutura de ponte relacionada, incluindo exposição da chave de administrador, permissões de contrato, controles cross-chain e controles de cunhagem, em conjunto com parceiros do ecossistema e revisores de segurança externos.
* Traduzido e editado com autorização do Decrypt.
Buscando uma carteira com alto ganho, mas sem o sobe e desce do mercado? A Renda Fixa Digital do MB oferece ativos com ganhos de até 18% ao ano, risco controlado e total segurança para seus investimentos. Conheça agora!