Ein Hacker hat bei Echo Protocol etwa 1.000 eBTC im Wert von rund 76,7 Millionen Dollar durch die Kompromittierung eines Admin-Privatschlüssels unrechtmäßig geprägt. Das Sicherheitsteam des Protokolls bestätigte, dass es sich um ein operatives und nicht um ein technisches Problem handelt.
Bei dem Angriff auf Echo Protocol, ein Bitcoin-DeFi-Protokoll auf der Monad-Blockchain, handelte es sich nicht um einen Smart-Contract-Bug, sondern um die Kompromittierung eines Admin-Privatschlüssels. Der Angreifer nutzte mehrere Sicherheitsmängel aus: Es gab nur eine einzelne Signatur für die Admin-Rolle, keinen Timelock, keine Obergrenze für die Prägemenge und keine automatischen Sicherheitsprüfungen. Das eBTC-Contract funktionierte genau wie programmiert – die Vulnerabilität lag in der operativen Struktur.
Der Hacker hat bereits etwa 5 Prozent der gestohlenen Kryptowährungen gewaschen: Er hinterlegte 45 eBTC als Sicherheit bei der DeFi-Plattform Curvance, lieh sich damit Wrapped Bitcoin aus, tauschte diese gegen Ethereum und schickte 384 ETH über den Mixing-Service Tornado Cash weiter. Die restlichen 955 eBTC im Wert von etwa 73 Millionen Dollar befinden sich noch in seinem Besitz.
Echo Protocol hat alle Cross-Chain-Transaktionen suspendiert und leitet eine Sicherheitsuntersuchung ein. Das Jahr 2026 zeigt sich als besonders kritisch für DeFi-Sicherheit: Mit der Echo-Exploit sind bereits mindestens 12 Protokolle kompromittiert worden, darunter auch THORChain und Verus Protocol.