Le protocole Echo de Monad vidé de 76 M$ dans une exploitation de frappe d'eBTC

La crypto vient d'enregistrer son troisième piratage majeur en quatre jours. Echo Protocol sur la blockchain Monad a subi une faille de sécurité critique le 19 mai 2026, après qu'un attaquant a compromis la clé privée admin du contrat eBTC. 

En utilisant cet accès, le pirate a frappé 1 000 eBTC d'une valeur d'environ 76,64 millions de dollars à partir de rien. L'incident fait suite à l'exploit de 10,7 millions de dollars sur THORChain le 15 mai et au drainage de 11,5 millions de dollars du Bridge Verus-Ethereum le 18 mai. L'actualité crypto aujourd'hui révèle un schéma alarmant, et Echo Protocol en est la dernière victime.

Déroulement de l'Attaque

La cause profonde était d'une simplicité dévastatrice. Le rôle admin du contrat eBTC était contrôlé par une seule clé privée sans protection multisig et sans timelock en place. Une fois que l'attaquant a compromis cette clé, tout s'est enchaîné rapidement.

L'attaquant a d'abord obtenu le DEFAULT_ADMIN_ROLE. Il a ensuite révoqué l'admin d'origine et s'est accordé le MINTER_ROLE. Avec l'autorité de frappe sécurisée, il a créé 1 000 eBTC pour des frais de gas négligeables, environ 0,0003 $. C'est 76,64 millions de dollars frappés pour moins d'une fraction de centime.

L'attaquant a ensuite agi rapidement. Il a déposé 45 eBTC, d'une valeur d'environ 3,45 millions de dollars, dans Curvance, un protocole de prêt opérant sur Monad. En utilisant ce collatéral, il a emprunté 11,3 WBTC d'une valeur d'environ 867 000 dollars. Il a bridgé le WBTC vers Ethereum, l'a échangé contre environ 385 ETH, et a déposé ces fonds dans Tornado Cash pour blanchir les produits. L'attaquant détient toujours 955 eBTC, d'une valeur d'environ 73,2 millions de dollars, dans son portefeuille. Cependant, ces tokens sont des actifs synthétiques non adossés, sans véritable collatéral BTC derrière eux.

Deux Protocoles ont Échoué Simultanément

L'actualité de Monad autour de cet incident clarifie un point important. La chaîne Monad elle-même n'a pas été compromise. Il s'agissait d'une défaillance opérationnelle au niveau du protocole, et non d'une vulnérabilité au niveau de la chaîne.

Deux failles de sécurité ont convergé. Premièrement, le contrôle admin à clé unique d'Echo Protocol n'avait ni multisig, ni timelock, ni plafond de frappe, ni limites de débit. Deuxièmement, Curvance a accepté les eBTC synthétiques fraîchement frappés comme collatéral sans aucun filtrage d'origine ni vérification de l'offre. Cette faille de composabilité a permis à l'attaquant d'extraire de la valeur réelle avant que quiconque puisse intervenir.

Curvance se retrouve désormais avec une mauvaise créance provenant de la position sous-collatéralisée. Les fournisseurs de liquidités WBTC supportent la perte financière principale des fonds empruntés. Echo Protocol a confirmé publiquement l'incident et a suspendu toutes les transactions cross-chain pendant que l'enquête se poursuit.

Ce que Cela Signifie pour les Investisseurs et les Développeurs

Pour les investisseurs, trois exploits totalisant plus de 98 millions de dollars en quatre jours exigent attention. L'environnement de sécurité DeFi en mai 2026 est extrêmement dangereux. Chaque attaque a exposé une vulnérabilité différente. Une faille d'implémentation TSS chez THORChain, un écart de validation source-montant chez Verus, et une compromission d'admin à clé unique chez Echo Protocol.

Pour les développeurs, le piratage d'Echo Protocol délivre trois leçons non négociables. Les rôles admin sur les actifs frappables doivent exiger un multisig. Les timelocks doivent protéger les fonctions critiques à privilèges. Les protocoles de prêt doivent filtrer les origines du collatéral et vérifier l'intégrité de l'offre avant d'accepter des actifs synthétiques.

L'actualité de Tornado Cash autour de cet incident ajoute une dimension familière. L'outil de blanchiment continue de servir de voie de sortie privilégiée pour les attaquants DeFi malgré la pression réglementaire croissante. L'industrie dispose des connaissances techniques pour prévenir chacune de ces attaques. La question est de savoir si les protocoles les mettront en œuvre avant que le prochain exploit ne frappe.

The post Monad's Echo Protocol Drained for $76M in eBTC Minting Exploit appeared first on Coinfomania.