Echo Protocol, une plateforme d’agrégation de liquidité Bitcoin et d’infrastructure de rendement, a été victime d’une exploitation sur son déploiement sur la blockchain Monad le 19 mai 2026, après qu’un attaquant a frappé 1 000 jetons eBTC non autorisés d’une valeur d’environ 76,7 millions de dollars. L’enquête du protocole a révélé qu’une clé admin compromise sur le déploiement Monad a permis l’activité de frappe non autorisée. Environ 816 000 dollars des fonds volés ont finalement été blanchis via Tornado Cash, un mixeur de pièces, mettant en évidence les risques de sécurité inter-chaînes auxquels font face les plateformes DeFi.
La société de sécurité blockchain PeckShield a signalé l’incident, en citant le chercheur onchain dcfgod. L’attaquant a déposé 45 eBTC (3,45 millions de dollars) dans Curvance, puis a emprunté environ 11,29 WBTC (867 700 dollars) contre la garantie. Le pirate a ensuite ponté le WBTC vers Ethereum, l’a échangé contre ETH, puis a envoyé 384 ETH (~821 700 dollars) à Tornado Cash.
## Mécanismes de l’attaque
L’exploitation a suivi un schéma courant dans les protocoles inter-chaînes : une seule information d’identification compromise a débloqué des privilèges de frappe sur l’ensemble d’un déploiement. eBTC est la représentation enveloppée du Bitcoin d’Echo Protocol sur Monad, conçue pour apporter la liquidité Bitcoin aux applications DeFi sur cette blockchain. L’attaquant a tiré parti de cette capacité de frappe pour créer des jetons non autorisés et extraire de la valeur sur plusieurs chaînes.
## Réponse d’Echo Protocol
Echo Protocol a confirmé la brèche et a indiqué que son enquête « indique que le problème est né d’une clé admin compromise affectant le déploiement Monad ». L’équipe a précisé que le réseau Monad lui-même n’était pas touché et continue de fonctionner normalement.
Sur la base des conclusions actuelles, environ 816 000 dollars ont été impactés sur Monad. Echo Protocol a « récupéré avec succès le contrôle de nos clés admin et a brûlé les 955 eBTC restants qui étaient en possession de l’attaquant ».
L’incident semble isolé à Monad, avec « aucune preuve de compromission sur Aptos », selon Echo. aBTC sur Aptos et eBTC sur Monad sont des actifs distincts et non pontables. L’exposition actuelle sur Aptos est limitée à environ 71 000 dollars sur les marchés de prêt d’Echo et les pools de liquidité Hyperion, sans perte de fonds confirmée sur cette chaîne.
## Actions correctives
Echo Protocol a mis en œuvre les mesures suivantes :
- A mis en pause la fonctionnalité inter-chaînes pour le déploiement Monad
- A finalisé une mise à niveau des contrats Monad concernés « pour restreindre les opérations affectées et renforcer le contrôle sur les fonctions sensibles »
- A entièrement mis en pause le pont Aptos par précaution malgré l’absence d’impact observé
- A suspendu Echo Aptos Lending pour des raisons de sécurité
- A mis à niveau les déploiements de pont de la série EVM « afin de renforcer davantage les contrôles inter-chaînes et de réduire le risque opérationnel »
- Effectue une revue exhaustive du déploiement Monad affecté et de l’infrastructure de pont associée, y compris l’exposition aux clés admin, les permissions de contrats, les contrôles inter-chaînes et les contrôles de frappe, avec les partenaires de l’écosystème et des évaluateurs de sécurité externes
## Contexte de l’industrie
La brèche d’Echo Protocol s’ajoute à la pression croissante sur la sécurité DeFi. Parmi les exploits récents figurent des attaques contre THORChain et TrustedVolumes. Le mois dernier, KelpDAO a subi une attaque liée à l’infrastructure de 293 millions de dollars, attribuée au groupe Lazarus de Corée du Nord.
Misha Putiatin, cofondateur de Symbiotic et de l’entreprise de sécurité des smart contracts Statemind, a déclaré à Decrypt que l’industrie doit s’attendre à davantage d’incidents de ce type alors que les protocoles s’appuient de plus en plus sur des composants hors chaîne. « À mesure que les protocoles DeFi deviennent de plus en plus dépendants de l’infrastructure hors chaîne, nous verrons probablement une résurgence des attaques de style “Web2.5” visant la gestion centralisée des clés, les bases de données et l’infrastructure opérationnelle », a déclaré Putiatin.
Qualifiant cela de « funambule », Putiatin a noté que les systèmes « avec une gestion plus impliquée » deviennent de plus en plus vulnérables aux attaques d’ingénierie sociale et aux attaques d’infrastructure par rapport aux « systèmes entièrement sans permission ».
Putiatin a déclaré que les composants centralisés et hors chaîne des protocoles DeFi ont historiquement été « traités comme des zones de risque secondaires », mais s’attend à ce que cela change. « Nous verrons probablement beaucoup plus d’attention portée à l’infrastructure opérationnelle, à la gestion des clés et aux cadres de sécurité internes, de façon similaire à la façon dont les audits de smart contracts sont devenus standard après le cycle d’exploits de 2021 », a-t-il ajouté.
