Das Echo Protocol, eine Plattform zur Zusammenführung von Bitcoin-Liquidität und Yield-Infrastruktur, wurde am 19. Mai 2026 von einem Exploit auf seiner Monad-Blockchain-Implementierung getroffen, nachdem ein Angreifer 1.000 nicht autorisierte eBTC-Token im Wert von etwa 76,7 Millionen US-Dollar geprägt hatte. Die Untersuchung des Protokolls ergab, dass ein kompromittierter Admin-Schlüssel in der Monad-Implementierung die nicht autorisierte Prägeaktivität ermöglichte. Etwa 816.000 US-Dollar der gestohlenen Mittel wurden schließlich über Tornado Cash, einen Coin-Mixer, gewaschen, was die grenzübergreifenden Sicherheitsrisiken für DeFi-Plattformen unterstreicht.
Die Blockchain-Sicherheitsfirma PeckShield machte den Vorfall aus, unter Verweis auf den Onchain-Researcher dcfgod. Der Angreifer deponierte 45 eBTC (3,45 Millionen US-Dollar) in Curvance und lieh anschließend etwa 11,29 WBTC (867.700 US-Dollar) gegen die Sicherheiten. Der Hacker überbrückte die WBTC danach zu Ethereum, tauschte sie gegen ETH und sandte 384 ETH (~821.700 US-Dollar) an Tornado Cash.
Angriffsmuster
Der Exploit folgte einem Muster, das in Cross-Chain-Protokollen üblich ist: Eine einzelne kompromittierte Zugangsdaten-Berechtigung schaltete Prägeprivilegien über eine komplette Implementierung frei. eBTC ist die von Echo Protocol gebaute „Wrapped Bitcoin“-Darstellung auf Monad, die darauf ausgelegt ist, Bitcoin-Liquidität in DeFi-Anwendungen auf dieser Blockchain einzubringen. Der Angreifer nutzte diese Prägefähigkeit, um nicht autorisierte Token zu erstellen und Wert über mehrere Chains hinweg abzuschöpfen.
Reaktion des Echo Protocol
Echo Protocol bestätigte die Sicherheitsverletzung und erklärte, dass die Untersuchung „darauf hindeutet, dass das Problem von einem kompromittierten Admin-Schlüssel ausging, der die Monad-Implementierung betraf“. Das Team sagte, das Monad-Netzwerk selbst sei nicht betroffen und laufe weiter wie gewohnt.
Auf Basis der aktuellen Erkenntnisse waren etwa 816.000 US-Dollar auf Monad betroffen. Echo Protocol habe „erfolgreich die Kontrolle über unsere Admin-Keys zurückerlangt und die verbleibenden 955 eBTC verbrannt, die sich im Besitz des Angreifers befanden.“
Der Vorfall scheint auf Monad isoliert zu sein, mit „keinen Hinweisen auf eine Kompromittierung auf Aptos“ laut Echo. aBTC auf Aptos und eBTC auf Monad sind separate, nicht überbrückbare Assets. Die aktuelle Aptos-Exponierung ist auf etwa 71.000 US-Dollar über Echo-Lending-Märkte und Hyperion-Liquiditätspools begrenzt, ohne bestätigten Verlust von Geldern auf dieser Chain.
Abhilfemaßnahmen
Das Echo Protocol hat die folgenden Maßnahmen umgesetzt:
- Cross-Chain-Funktionalität für die Monad-Implementierung pausiert
- Upgrade relevanter Monad-Contracts abgeschlossen, um „betroffene Operationen einzuschränken und die Kontrolle über sensible Funktionen zu stärken“
- Die Aptos-Bridge vollständig als Vorsichtsmaßnahme pausiert, obwohl keine Auswirkungen beobachtet wurden
- Echo Aptos Lending für Sicherheit ausgesetzt
- EVM-Serien-Bridge-Implementierungen aktualisiert, „um Cross-Chain-Kontrollen weiter zu stärken und das operative Risiko zu reduzieren“
- Eine umfassende Überprüfung der betroffenen Monad-Implementierung und der zugehörigen Bridge-Infrastruktur durchgeführt, einschließlich Admin-Key-Exponierung, Contract-Berechtigungen, Cross-Chain-Kontrollen und Prägekontrollen, zusammen mit Ökosystem-Partnern und externen Security-Reviewern
Einordnung in die Branche
Der Echo-Protocol-Breach erhöht den wachsenden Druck auf die DeFi-Sicherheit. Zu den jüngsten Exploits gehören Angriffe auf THORChain und TrustedVolumes. Im letzten Monat erlitt KelpDAO einen 293 Millionen US-Dollar Infrastruktur-gebundenen Angriff, der der Lazarus Group aus Nordkorea zugeschrieben wird.
Misha Putiatin, Mitgründer von Symbiotic und Smart-Contract-Sicherheitsfirma Statemind, sagte gegenüber Decrypt, dass die Branche mit weiteren Vorfällen dieser Art rechnen sollte, wenn Protokolle stärker auf Off-Chain-Komponenten setzen. „Da DeFi-Protokolle zunehmend von Off-Chain-Infrastruktur abhängig werden, ist es wahrscheinlich, dass wir eine Wiederkehr von ‚Web2.5‘-artigen Angriffen sehen werden, die auf zentralisiertes Key-Management, Datenbanken und operative Infrastruktur abzielen“, sagte Putiatin.
Als „Balanceakt“ bezeichnete er, dass Systeme mit „umfangreicherem Management“ im Vergleich zu „vollständig permissionlessen Systemen“ zunehmend anfällig für Social Engineering- und Infrastrukturangriffe werden.
Putiatin sagte, zentrale und Off-Chain-Komponenten von DeFi-Protokollen seien historisch als „sekundäre Risikobereiche“ behandelt worden, er erwarte jedoch eine Veränderung. „Wir werden wahrscheinlich deutlich mehr Fokus auf operative Infrastruktur, Key-Management und interne Sicherheitsframeworks sehen, ähnlich wie Smart-Contract-Audits nach dem Exploit-Zyklus 2021 zum Standard wurden“, sagte er.
