Echo Protocol sufre un exploit de Monad $76M mediante una clave de administrador comprometida

Echo Protocol, una plataforma de agregación de liquidez de Bitcoin y de infraestructura de rendimiento, fue víctima de un exploit en su despliegue en la blockchain Monad el 19 de mayo de 2026, después de que un atacante acuñara 1.000 tokens eBTC no autorizados con un valor aproximado de 76,7 millones de dólares. La investigación del protocolo reveló que una clave de admin comprometida en el despliegue de Monad permitió la actividad de acuñación no autorizada. Aproximadamente 816.000 dólares de los fondos robados fueron blanqueados finalmente mediante Tornado Cash, un mezclador de monedas, lo que pone de relieve los riesgos de seguridad entre cadenas a los que se enfrentan las plataformas DeFi.

La firma de seguridad blockchain PeckShield marcó el incidente, citando al investigador onchain dcfgod. El atacante depositó 45 eBTC (3,45 millones de dólares) en Curvance, y luego pidió prestado aproximadamente 11,29 WBTC (867.700 dólares) contra la garantía. El hacker posteriormente hizo un puente con el WBTC hacia Ethereum, lo intercambió por ETH y envió 384 ETH (~821,700 dólares) a Tornado Cash.

## Mecánica del ataque

El exploit siguió un patrón común en protocolos entre cadenas: una sola credencial comprometida desbloqueó privilegios de acuñación en todo un despliegue. eBTC es la representación de Bitcoin tokenizado de Echo Protocol en Monad, diseñada para llevar liquidez de Bitcoin a aplicaciones DeFi en esa blockchain. El atacante aprovechó esta capacidad de acuñación para crear tokens no autorizados y extraer valor a través de múltiples cadenas.

## Respuesta de Echo Protocol

Echo Protocol confirmó la brecha y afirmó que su investigación “indica que el problema se originó en una clave de admin comprometida que afectó el despliegue de Monad”. El equipo señaló que la red Monad en sí no se vio afectada y continúa operando con normalidad.

Con base en los hallazgos actuales, aproximadamente 816.000 dólares se vieron afectados en Monad. Echo Protocol ha “recuperado con éxito el control de nuestras claves de admin y quemado los 955 eBTC restantes que estaban en posesión del atacante”.

El incidente parece estar aislado en Monad, con “sin evidencia de que se haya comprometido Aptos”, según Echo. aBTC en Aptos y eBTC en Monad son activos separados y no canjeables mediante puente. La exposición actual en Aptos se limita a aproximadamente 71.000 dólares entre los mercados de préstamos de Echo y los pools de liquidez de Hyperion, sin pérdidas confirmadas de fondos en esa cadena.

## Acciones correctivas

Echo Protocol ha implementado las siguientes medidas:

- Pausó la funcionalidad entre cadenas para el despliegue de Monad
- Completó una actualización de los contratos relevantes de Monad “para restringir las operaciones afectadas y fortalecer el control sobre funciones sensibles”
- Pausó completamente el puente de Aptos como precaución, pese a que no se observó ningún impacto
- Suspendió Echo Aptos Lending por seguridad
- Actualizó los despliegues del puente de la serie EVM “para reforzar aún más los controles entre cadenas y reducir el riesgo operativo”
- Realiza una revisión integral del despliegue de Monad afectado y de la infraestructura de puente relacionada, incluida la exposición de claves de admin, permisos de contratos, controles entre cadenas y controles de acuñación, junto con socios del ecosistema y revisores externos de seguridad

## Contexto de la industria

La brecha de Echo Protocol se suma a la presión creciente sobre la seguridad en DeFi. Entre los exploits recientes se incluyen ataques a THORChain y TrustedVolumes. El mes pasado, KelpDAO sufrió un ataque vinculado a infraestructura de 293 millones de dólares, atribuido al grupo Lazarus de Corea del Norte.

Misha Putiatin, cofundador de Symbiotic y de la firma de seguridad de contratos inteligentes Statemind, dijo a Decrypt que la industria debe esperar más incidentes de este tipo a medida que los protocolos dependen más de componentes fuera de la cadena. “A medida que los protocolos DeFi se vuelven cada vez más dependientes de infraestructura fuera de la cadena, es probable que veamos un resurgimiento de ataques estilo ‘Web2.5’ que apunten a la gestión centralizada de claves, bases de datos e infraestructura operativa”, dijo Putiatin.

Al calificarlo de “un acto de equilibrio”, Putiatin señaló que los sistemas con “una gestión más involucrada” se vuelven cada vez más vulnerables a la ingeniería social y a ataques a la infraestructura en comparación con “sistemas totalmente sin permisos”.

Putiatin dijo que los componentes centralizados y fuera de la cadena de los protocolos DeFi históricamente se han “tratado como áreas de riesgo secundario”, pero espera que eso cambie. “Es probable que veamos mucha más atención en la infraestructura operativa, la gestión de claves y los marcos de seguridad internos, similar a cómo las auditorías de contratos inteligentes se volvieron estándar después del ciclo de exploits de 2021”, dijo.