Hacker crea 1.000 Bitcoins falsos y roba 76,7 millones a Echo Protocol

El protocolo DeFi Echo Protocol ha sido víctima de un hackeo masivo en el que un atacante creó aproximadamente 1,000 tokens eBTC no autorizados. Se estima que el daño total asciende a unos 76.7 millones de dólares.

Las empresas de seguridad PeckShield y Lookonchain informaron que el hacker logró crear Bitcoin sintético (eBTC) en el protocolo, que opera en la blockchain compatible con Ethereum, Monad.

Echo Protocol confirmó el incidente de seguridad poco después y anunció que todas las transacciones cross-chain están suspendidas mientras se lleva a cabo la investigación.

El hacker mueve millones a través de plataformas DeFi

Según análisis de blockchain, el atacante intentó lavar parte del botín directamente a través de varias plataformas DeFi. Alrededor de 45 eBTC, valorados en aproximadamente 3.45 millones de dólares, fueron depositados en Curvance, un protocolo de préstamos y gestión de liquidez en criptomonedas.

Allí, el hacker logró pedir prestados 11.3 wrapped Bitcoin, equivalentes a unos 868,000 dólares. Los tokens fueron luego convertidos a Ethereum y cambiados por ETH.

Posteriormente, 384 ETH, con un valor aproximado de 822,000 dólares, fueron enviados a Tornado Cash. Este mezclador de criptomonedas se utiliza frecuentemente para dificultar el rastreo de transacciones.

Según datos de DeBank, el atacante aún posee alrededor de 955 eBTC, con un valor estimado de más de 73 millones de dólares.

El fallo de seguridad no estaba en los smart contracts

Según el desarrollador de blockchain Marioo, el hackeo no fue causado por un error en los smart contracts de Echo Protocol. En su lugar, una clave privada de un administrador habría sido comprometida.

Esto permitió al atacante acceder a importantes derechos de administración dentro del protocolo. Marioo afirmó que el contrato de eBTC funcionaba técnicamente de manera correcta. La vulnerabilidad, según él, residía principalmente en la seguridad operativa de la plataforma.

Faltaban, por ejemplo, un sistema multisig para aprobaciones adicionales, así como límites en la cantidad de tokens que podían ser creados. También faltaban retardos temporales para las acciones de los administradores y controles adicionales sobre nuevos colaterales. Esto permitió al hacker crear grandes cantidades de eBTC sin que intervinieran las protecciones automáticas.

Reacciones de Curvance y Monad

Curvance confirmó que sus propios smart contracts no fueron afectados por el hackeo. Sin embargo, el mercado de eBTC correspondiente fue suspendido temporalmente para una investigación más detallada.

Monad también reaccionó al incidente. El cofundador Keone Hon subrayó a través de X que la red Monad en sí no fue afectada. «La red Monad funciona con normalidad y no ha sido impactada por el incidente», declaró Hon.

Echo Protocol ha anunciado que compartirá más información a través de sus canales oficiales de comunicación más adelante.

Doce plataformas DeFi han sido hackeadas este mes

El hackeo a Echo Protocol es el último incidente en una serie de ataques a plataformas DeFi. Solo este mes, al menos doce protocolos han sido víctimas de hacks o exploits.

Entre ellos, THORChain, Verus Protocol, Transit Finance y Ekubo han enfrentado recientemente problemas de seguridad.

La seguridad en las finanzas descentralizadas sigue siendo un tema crucial dentro del sector de criptomonedas. En el último año, se han perdido cientos de millones de dólares debido a hackeos, mientras que más de veinte protocolos han tenido que cesar sus actividades temporal o permanentemente.

Anteriormente este año, Drift Protocol perdió aproximadamente 285 millones de dólares por un exploit. Kelp DAO fue atacado en abril, sufriendo un hackeo de unos 292 millones de dólares. Verus Protocol también fue hackeado esta semana mediante un mensaje cross-chain falsificado, con un robo de al menos 11.6 millones de dólares en criptomonedas. Transit Finance perdió casi 1.9 millones de dólares la semana pasada debido a una vulnerabilidad en un smart contract obsoleto.