Monad's Echo Protocol leeggetrokken voor $76M in eBTC Minting Exploit

Crypto heeft zojuist zijn derde grote hack in vier dagen geregistreerd. Echo Protocol op de Monad-blockchain onderging op 19 mei 2026 een kritieke beveiligingsinbreuk, nadat een aanvaller de admin-privésleutel van het eBTC-contract had gecompromitteerd. 

Met die toegang mintete de hacker 1.000 eBTC ter waarde van ongeveer $76,64 miljoen uit het niets. Het incident volgt op de $10,7 miljoen THORChain-exploit op 15 mei en de $11,5 miljoen Verus-Ethereum Bridge-aftapping op 18 mei. Het cryptonieuws van vandaag laat een verontrustend patroon zien, en Echo Protocol is het nieuwste slachtoffer.

Hoe de Aanval Zich Ontvouwde

De hoofdoorzaak was vernietigend eenvoudig. De adminrol van het eBTC-contract werd beheerd door een enkele privésleutel zonder multisig-bescherming en zonder timelock. Zodra de aanvaller die sleutel had gecompromitteerd, volgde alles snel.

De aanvaller verkreeg eerst de DEFAULT_ADMIN_ROLE. Vervolgens trok hij de originele admin in en kende zichzelf de MINTER_ROLE toe. Met de mintingbevoegdheid veiliggesteld, creëerde hij 1.000 eBTC voor verwaarloosbare gaskosten van ongeveer $0,0003. Dat is $76,64 miljoen gemint voor minder dan een fractie van een cent.

De aanvaller handelde daarna snel. Hij stortte 45 eBTC, ter waarde van ongeveer $3,45 miljoen, in Curvance, een leenprotocol dat op Monad werkt. Met dat onderpand leende hij 11,3 WBTC ter waarde van ongeveer $867.000. Hij bridgete de WBTC naar Ethereum, wisselde het om voor ongeveer 385 ETH, en stortte die fondsen in Tornado Cash om de opbrengsten wit te wassen. De aanvaller houdt nog steeds 955 eBTC, ter waarde van ongeveer $73,2 miljoen, in zijn portemonnee. Die tokens zijn echter ongedekte synthetische activa zonder echte BTC-onderpand erachter.

Twee Protocollen Faalden Tegelijkertijd

Het Monad-nieuws rond dit incident verduidelijkt één belangrijk punt. De Monad-keten zelf werd niet gecompromitteerd. Dit was een operationele storing op protocolniveau, geen kwetsbaarheid op ketenniveau.

Twee beveiligingsfouten kwamen samen. Ten eerste had de single-key admincontrole van Echo Protocol geen multisig, geen timelock, geen mintlimiet en geen tarieflimieten. Ten tweede accepteerde Curvance de vers geminte synthetische eBTC als onderpand zonder enige herkomstscreening of verificatie van het aanbod. Die composability-kloof stelde de aanvaller in staat echte waarde te extraheren voordat iemand kon ingrijpen.

Curvance blijft nu achter met oninbare schulden door de ondergepande positie. WBTC-liquiditeitsverschaffers dragen het primaire financiële verlies van de geleende fondsen. Echo Protocol bevestigde het incident publiekelijk en schortte alle cross-chain transacties op terwijl het onderzoek voortduurt.

Wat Dit Betekent voor Investeerders en Ontwikkelaars

Voor investeerders vereisen drie exploits van in totaal meer dan $98 miljoen in vier dagen aandacht. De DeFi-beveiligingsomgeving in mei 2026 is acuut gevaarlijk. Elke aanval legde een andere kwetsbaarheid bloot. Een TSS-implementatiefout bij THORChain, een bron-bedrag-validatiekloof bij Verus, en een single-key admin-compromittering bij Echo Protocol.

Voor ontwikkelaars levert de Echo Protocol-hack drie niet-onderhandelbare lessen op. Adminrollen op mintbare activa moeten multisig vereisen. Timelocks moeten kritieke bevoorrechte functies beschermen. Leenprotocollen moeten de herkomst van onderpand screenen en de integriteit van het aanbod verifiëren voordat synthetische activa worden geaccepteerd.

Het Tornado Cash-nieuws rond dit incident voegt een vertrouwde dimensie toe. Het witwasinstrument blijft dienen als de voorkeurs-uitgangsroute voor DeFi-aanvallers, ondanks voortdurende regelgevingsdruk. De sector beschikt over de technische kennis om elk van deze aanvallen te voorkomen. De vraag is of protocollen het zullen implementeren voordat de volgende exploit toeslaat.

The post Monad's Echo Protocol Drained for $76M in eBTC Minting Exploit appeared first on Coinfomania.