Echo Protocol untersucht einen Sicherheitsvorfall auf Monad, bei dem ein Angreifer offenbar eBTC in großem Stil unrechtmäßig erzeugt und anschließend echtes Bitcoin-Liquidität über einen Umweg abgezogen hat. Betroffen ist vor allem der eBTC-Markt auf Monad sowie die Bridge-Funktionen von Echo, die seitdem vorsorglich gestoppt wurden.
Was passiert ist: 1.000 eBTC „aus dem Nichts“
Die ersten Warnungen kamen aus der On-Chain-Community: Analysten beobachteten Transaktionen, bei denen plötzlich 1.000 eBTC gemintet wurden. Kurz darauf nutzte der Angreifer einen Teil dieser Position als Sicherheit in Curvance, um WBTC zu leihen. Anschließend wurde das geliehene WBTC über eine Bridge nach Ethereum transferiert, dort in ETH getauscht und am Ende über den Mixer Tornado Cash verschleiert.
Lookonchain bezifferte den Ablauf grob so: 1.000 eBTC hatten zum Zeitpunkt der Beobachtung einen rechnerischen Wert von rund 76,6 Millionen US-Dollar. Der Angreifer hinterlegte demnach 45 eBTC als Collateral, lieh etwa 11,3 WBTC (knapp 867.000 US-Dollar), bridgte diese nach Ethereum, tauschte sie in rund 385 ETH und zahlte die ETH schließlich in Tornado Cash ein. Der Restbestand lag zunächst weiter in eBTC.
Hinweise sprechen für kompromittierten Admin-Zugang
Wichtig: Mehrere Beobachter sehen die Ursache nicht bei Curvance selbst. Der Phylax-Systems-CEO Odysseas Lamtzidis verwies auf eine auffällige Rollenverwaltung beim eBTC-Contract. Seiner Darstellung nach wurde eine Admin-Rolle an eine Adresse vergeben, die danach Admin-Rechte wieder entzog, sich selbst aber die Minters-Rolle gab und damit die 1.000 eBTC minten konnte. Das Muster passt eher zu einem kompromittierten Admin-Key oder einem Missbrauch von Berechtigungen als zu einem klassischen Fehler im Lending-Code.
Echo Protocol bestätigte den Vorfall und setzte Cross-Chain-Transaktionen vorübergehend aus, während die Untersuchung läuft. Curvance pausierte den betroffenen eBTC-Markt auf Monad und betonte, es gebe keine Hinweise auf kompromittierte Smart Contracts. Die Architektur mit isolierten Märkten soll verhindert haben, dass andere Bereiche mitgerissen werden. Auch Monad selbst sei nicht betroffen und laufe normal weiter, so Monad-CEO Keone Hon.
Schaden laut Echo: rund 816.000 US-Dollar, restliche eBTC verbrannt
In einem späteren Update legte Echo nach: Demnach gab es „unauthorisierte Aktivität“ rund um eBTC auf Monad, ausgelöst durch einen kompromittierten Admin-Key in der Monad-Deployment-Umgebung. Nach aktuellem Stand seien etwa 816.000 US-Dollar auf Monad betroffen. Echo gibt zudem an, die Kontrolle über die Admin-Keys zurückerlangt und die verbliebenen 955 eBTC, die noch beim Angreifer lagen, verbrannt zu haben.
Der Fall zeigt erneut ein bekanntes DeFi-Risiko: Wenn ein gebridgetes oder synthetisches Asset als Sicherheit akzeptiert wird, kann eine Manipulation auf der Emissionsseite schnell in echten Liquiditätsabfluss umschlagen. Genau das scheint hier passiert zu sein, weil der Angreifer den „Papierwert“ der frisch geminten eBTC nutzte, um sich WBTC zu leihen, die dann außerhalb von Monad in ETH umgewandelt und verschleiert wurden.
Für Nutzer bleiben nun vor allem diese Fragen entscheidend: Welche Berechtigungen wurden konkret missbraucht, ob Curvance Bad Debt aus dem WBTC-Kredit trägt, und wann Echo die Bridge wieder sicher öffnen kann. Bis es belastbare Antworten gibt, bleibt der eBTC-Markt auf Monad der zentrale Druckpunkt, auch wenn die Netzwerkinfrastruktur von Monad selbst laut Beteiligten nicht betroffen ist.
