Le protocole Echo victime d'une faille de sécurité : 73 millions de dollars d'eBTC créés déclenchent une alerte concernant la sécurité de la finance décentralisée DeFi

Le projet DeFi Bitcoin Echo a été victime d'une faille de sécurité lundi. La plateforme de sécurité blockchain Lookonchain révèle qu'un pirate a émis 1 000 eBTC (76,64 millions de dollars) sur Monad, puis a utilisé 45 eBTC en garantie sur Curvance pour emprunter 11,29 WBTC, soit 867 700 dollars. L'attaquant a ensuite transféré ces actifs vers Ethereum et les a convertis en ETH natif, tout en injectant 384 ETH dans Tornado Cash.

Le portefeuille de l'attaquant contient toujours 955 eBTC de la fausse offre, ce qui, selon la plateforme, représente une valeur d'environ 73,2 millions de dollars. La société blockchain OnChain Lens a même confirmé : « L'attaquant semble toujours contrôler une quantité importante d'eBTC créés de toutes pièces. »

Cetdent survient alors que le DeFi secteur violations de protocoles et de compromissions de clés privées.

Curvance affirme que la faille n'a affecté que le marché eBTC/WBTC de Monad

Monad et Curvance ont tous deux reconnu publiquement l'existence de cette faille. Keone Hon, cofondateur a publié sur X :

Nous avons connaissance d'undent lié au protocole eBTC d'Echo sur Monad, et des chercheurs en sécurité enquêtent sur le problème.

Keone Hon

Dans un autre message, le fondateur a indiqué avoir perdu environ 816 000 $ à cause de cette faille. Curvance a également précisé: « Par mesure de précaution, le marché concerné a été suspendu le temps que notre équipe enquête activement sur la situation en collaboration avec nos partenaires de l’écosystème. »

Il a également été affirmé que l'attaque était limitée au marché eBTC/WBTC de Monad. Les autres pools Curvance et les principales plateformes inter-chaînes, notamment Aave, Morpho, Spark et Fluid, n'ont pas été touchées. Bien que l'on ignore précisément comment l'attaquant a réussi à créer de l'eBTC, les experts suggèrent qu'il pourrait s'agir d'une compromission de clé privée, d'une erreur de déploiement ou d'une faille dans untracintelligent.

L'attaquant a renoncé à une vente massive de 1 000 eBTC sur le marché DEX afin d'éviter le glissement important causé par la faible liquidité de Monad. Il a plutôt mis en œuvre unetrac, reproduisant la stratégie utilisée précédemment pour détourner des fonds de Resolv et KelpDAO.

Les pirates informatiques ciblent-ils davantage les plateformes DeFi ?

Selon DeFiLlama, le DeFi avait déjà subi 13 piratages ce mois-ci avant l'exploitation de la faille d'Echo Protocol. Echo Protocol est également la troisième plateforme majeure de finance décentralisée à être victime d'une faille de sécurité ces cinq derniers jours.

Comme l'avait précédemment rapporté Cryptopolitan, THORChain a été piraté le 15 mai et des pirates ont empoché plus de 10 millions de dollars. Suite à cet incidentdent, assurant aux utilisateurs que seuls les fonds appartenant au protocole étaient concernés. Le système a reconnu avoir « automatiquementmaticun comportement anormal et interrompu les activités de signature », empêchant ainsi de nouvelles transactions sortantes.

S'exprimant au sujet de l'attaque, l'enquêteur on-chain ZachXBT a déclaré que l'attaquant avait ciblé la plateforme sur Bitcoin, Ethereum, BNB Chain et Base.

Une seconde faille de sécurité a touché le pont Verus-Ethereum trois jours plus tard, entraînant la perte de 11,58 millions de dollars en actifs numériques. Les chercheurs en sécurité de Blockaid tracretracé l'origine de cette faille jusqu'à l'adresse du portefeuille « 0x5aBb…D5777 ». La société de sécurité blockchain Peckshield a également précisé que l'attaquant avait dérobé 103,6 téraoctets de BTC, 1 625 ETH et 147 000 USDC, avant de convertir ces actifs en environ 5 402 ETH.

GoPlus, une autre société de sécurité ayant signalé l'attaque, a indiqué : « Il s'agit très probablement d'une falsification de la validation/signature des messages inter-chaînes, d'un contournement de la logique de retrait ou d'une faille de contrôle d'accès. » De son côté, l'équipe de Verus a affirmé enquêter toujours sur l'dent.

Ces dernières années, les plateformes DeFi sont devenues une cible privilégiée des pirates informatiques. DeFiLlama estime que les protocoles de prêt non assurés ont subi 7,7 milliards de dollars de pertes liées à des attaques au cours des six dernières années. Plus de 600 millions de dollars ont été perdus suite à des piratages en avril dernier, Drift et KelpDAO ayant été particulièrement touchés.

Plus récemment, Hugh Karp, le fondateur de Nexus Mutual, a même souligné que bon nombre des piratages les plus récents étaient dus à des défaillances opérationnelles, ce qui met en évidence une inadéquation entre le risque et la couverture d'assurance.