Un hacker crée 1 000 faux Bitcoins et vole 76,7 millions de l’Echo Protocol

La plateforme DeFi Echo Protocol a été victime d’un piratage de grande envergure, au cours duquel un attaquant a créé environ 1 000 jetons eBTC non autorisés. Le préjudice total est estimé à environ 76,7 millions de dollars.

Les sociétés de sécurité PeckShield et Lookonchain ont signalé que le pirate avait réussi à générer des Bitcoin synthétiques (eBTC) sur le protocole, qui fonctionne sur la blockchain Monad compatible avec Ethereum.

Echo Protocol a confirmé l’incident peu après et a annoncé la suspension temporaire de toutes les transactions inter-chaînes pendant l’enquête.

Le hacker transfère des millions via des plateformes DeFi

Selon des analyses blockchain, l’attaquant a tenté de blanchir une partie du butin via plusieurs plateformes DeFi. Environ 45 eBTC, soit environ 3,45 millions de dollars, ont été déposés sur Curvance, un protocole de prêt crypto et de gestion de liquidité.

Le hacker a ensuite emprunté 11,3 Bitcoin enveloppés, d’une valeur d’environ 868 000 dollars, qu’il a convertis en Ethereum pour obtenir de l’ETH.

Il a ensuite envoyé 384 ETH, d’une valeur d’environ 822 000 dollars, vers Tornado Cash. Ce mixeur de crypto-monnaies est souvent utilisé pour rendre les transactions plus difficiles à tracer.

D’après les données de DeBank, l’attaquant détient encore environ 955 eBTC, d’une valeur estimée à plus de 73 millions de dollars.

La faille de sécurité ne provenait pas des smart contracts

Selon le développeur blockchain Marioo, le piratage n’a pas été causé par une erreur dans les smart contracts d’Echo Protocol. Il semblerait plutôt qu’une clé privée d’un administrateur ait été compromise.

Cela a permis à l’attaquant d’accéder à des droits d’administration cruciaux au sein du protocole. Marioo a affirmé que le contrat eBTC fonctionnait correctement d’un point de vue technique. La vulnérabilité se situerait principalement dans la sécurité opérationnelle de la plateforme.

Notamment, il manquait un système multisig pour des approbations supplémentaires, ainsi que des limites sur le nombre de jetons pouvant être créés. Des délais pour les actions administratives et des contrôles supplémentaires sur les nouvelles garanties faisaient également défaut, permettant ainsi au hacker de créer de grandes quantités d’eBTC sans que les sécurités automatiques ne s’enclenchent.

Réactions de Curvance et Monad

Curvance a confirmé que ses propres smart contracts n’ont pas été affectés par le piratage. Toutefois, le marché eBTC concerné a été temporairement suspendu pour une enquête plus approfondie.

Monad a également réagi à l’incident. Keone Hon, cofondateur, a souligné via X que le réseau Monad n’a pas été touché. « Le réseau Monad fonctionne normalement et n’a pas été affecté par l’incident », a-t-il déclaré.

Echo Protocol a annoncé qu’il partagera davantage d’informations ultérieurement via les canaux de communication officiels.

Douze plateformes DeFi déjà piratées ce mois-ci

Le piratage d’Echo Protocol est le dernier incident en date dans une série d’attaques sur les plateformes DeFi. Ce mois-ci seulement, au moins douze protocoles ont été victimes de piratages ou d’exploits.

Des protocoles tels que THORChain, Verus Protocol, Transit Finance et Ekubo ont récemment été confrontés à des problèmes de sécurité.

La sécurité de la finance décentralisée reste une préoccupation majeure dans le secteur des cryptomonnaies. Au cours de l’année écoulée, des centaines de millions de dollars ont été perdus à cause de piratages, et plus de vingt protocoles ont dû suspendre temporairement ou définitivement leurs activités.

Plus tôt cette année, Drift Protocol a perdu environ 285 millions de dollars à cause d’un exploit. Kelp DAO a été touché en avril par un piratage d’environ 292 millions de dollars. Verus Protocol a également été piraté cette semaine via un message inter-chaînes falsifié, entraînant le vol d’au moins 11,6 millions de dollars en cryptomonnaies. Transit Finance a perdu près de 1,9 million de dollars la semaine dernière en raison d’une vulnérabilité dans un smart contract obsolète.