MonadのEchoプロトコル、eBTCミントエクスプロイトで7600万ドル流出

暗号資産業界は4日間で3件目の大規模ハッキングを記録しました。MonadブロックチェーンのEcho Protocolは、2026年5月19日に重大なセキュリティ侵害を受けました。攻撃者がeBTCコントラクトの管理者秘密鍵を不正取得した後のことです。 

そのアクセスを利用して、ハッカーは約7,664万ドル相当の1,000 eBTCを無から生成しました。この事件は、5月15日の1,070万ドルのTHORChainエクスプロイトと、5月18日の1,150万ドルのVerus-Ethereumブリッジ流出に続くものです。今日の暗号資産ニュースは暗澹たるパターンを示しており、Echo Protocolはその最新の被害者となりました。

攻撃の経緯

根本原因は壊滅的なほど単純でした。eBTCコントラクトの管理者ロールは、マルチシグ保護もタイムロックも設けられていない単一の秘密鍵によって管理されていました。攻撃者がその鍵を不正取得すると、その後はすべてが素早く展開しました。

攻撃者はまずDEFAULT_ADMIN_ROLEを取得しました。次に元の管理者を失効させ、自らにMINTER_ROLEを付与しました。ミント権限を確保した後、わずか約0.0003ドルのガス代で1,000 eBTCを生成しました。つまり7,664万ドル分のトークンが1セントにも満たないコストでミントされたのです。

その後、攻撃者は素早く行動しました。Monad上で稼働するレンディングプロトコルであるCurvanceに、約345万ドル相当の45 eBTCを預け入れました。その担保資産を使って、約867,000ドル相当の11.3 WBTCを借り入れました。WBTCをEthereumにブリッジし、約385 ETHにスワップした後、その資金をTornado Cashに預け入れて資金洗浄しました。攻撃者は現在もウォレットに約7,320万ドル相当の955 eBTCを保有しています。しかし、これらのトークンは実際のBTC担保資産を持たない無担保の合成資産です。

2つのプロトコルが同時に失敗

この事件に関するMonadのニュースは、一つの重要な点を明確にしています。Monadチェーン自体は侵害されていません。これはチェーンレベルの脆弱性ではなく、プロトコルレベルでの運用上の失敗でした。

2つのセキュリティ上の失敗が重なりました。第一に、Echo Protocolの単一鍵による管理者制御には、マルチシグもタイムロックもミント上限もレート制限もありませんでした。第二に、Curvanceは出所のスクリーニングや供給量の検証を行うことなく、新たにミントされた合成eBTCを担保資産として受け入れました。このコンポーザビリティのギャップにより、攻撃者は誰も介入できないうちに実際の価値を引き出すことができました。

Curvanceは現在、担保不足のポジションから生じた不良債権を抱えています。WBTCの流動性提供者が、借り入れた資金からの主たる財務損失を負担しています。Echo Protocolは事件を公式に認め、調査継続中にすべてのクロスチェーン取引を停止しました。

投資家と開発者への示唆

投資家にとって、4日間で合計9,800万ドル以上に上る3件のエクスプロイトは注意を要します。2026年5月のDeFiセキュリティ環境は極めて危険な状態にあります。各攻撃は異なる脆弱性を露呈しました。THORChainでのTSS実装の欠陥、Verusでのソース金額検証のギャップ、そしてEcho Protocolでの単一鍵管理者の不正取得です。

開発者にとって、Echo Protocolのハッキングは3つの絶対に無視できない教訓をもたらします。ミント可能な資産の管理者ロールはマルチシグを必須とする必要があります。タイムロックは重要な特権機能を保護しなければなりません。レンディングプロトコルは合成資産を受け入れる前に、担保資産の出所をスクリーニングし、供給の整合性を検証しなければなりません。

この事件に関するTornado Cashのニュースは、見慣れた側面を加えています。この資金洗浄ツールは、継続的な規制圧力にもかかわらず、DeFi攻撃者に選ばれる出口ルートであり続けています。業界はこれらの攻撃のすべてを防ぐための技術的知識を持っています。問題は、次のエクスプロイトが発生する前にプロトコルがそれを実装するかどうかです。

The post Monad's Echo Protocol Drained for $76M in eBTC Minting Exploit appeared first on Coinfomania.