去中心化金融协议 Echo Protocol 近日遭遇严重安全事件，攻击者利用管理密钥泄露漏洞，在 Monad 区块链上非法铸造了约 1000 枚未经授权的 eBTC。区块链安全公司 PeckShield 与分析平台 Lookonchain 在周二确认了这一事件，指出这些合成比特币的总价值约为 7670 万美元。Echo Protocol 官方随即发布声明，称正在调查影响其 Monad 平台桥接机制的安全问题，并宣布在调查期间暂停所有跨链交易。此次攻击并非孤例，过去一个月内，包括 THORChain、Verus Protocol 以太坊桥接机制、Transit Finance、TrustedVolumes 以及 Ekubo 在内的至少 12 个去中心化金融协议相继遭到入侵。

午方 AI 梳理发现，攻击者的洗钱路径清晰且复杂。他们首先试图将价值约 345 万美元的 45 枚 eBTC 存入 DeFi 借贷及流动性管理平台 Curvance。随后，攻击者利用这些抵押品借入了价值 86.8 万美元的 11.3 枚 wrapped Bitcoin，并将这些代币转移至以太坊网络。在以太坊网络上，这些资产被兑换成 ETH，最终约 82.2 万美元的 384 枚 ETH 被发送至 Tornado Cash 混币服务以掩盖踪迹。截至目前，攻击者手中仍持有价值约 7300 万美元的 955 枚 eBTC，这部分资产尚未被转移或变现。

Echo Protocol 作为一个专注于比特币流动性聚合、液态质押、重新质押及收益生成的平台，旨在为用户提供统一的流动性资产 eBTC，使其能在 DeFi 应用中获取更高收益。该平台运行于高性能、第一层且兼容 EVM 的 Monad 区块链之上。针对此次事件，区块链开发者 Marioo 指出，攻击根源并非智能合约代码漏洞，而是管理员私钥泄露导致的操作层面失误。Marioo 强调，eBTC 合约完全按照设计要求运行，但存在显著的设计缺陷：管理员角色仅需单一签名即可操作，缺乏时间限制机制，且未设置铸造数量上限或速率限制。

此外，Curvance 平台也未对新铸造的代币进行必要的合规检查。

午方 AI 注意到，Curvance 方面已确认其智能合约未被入侵，但在监测到 Echo eBTC 市场出现异常后，已暂时暂停了受影响市场的交易。Monad 联合创始人 Keone Hon 也在 X 平台上澄清，Monad 网络本身未受波及，仍在正常运行。Echo Protocol 表示，随着调查深入和更多信息的披露，将通过官方渠道及时更新进展。这一事件再次凸显了当前去中心化金融领域面临的安全挑战，今年以来，数十个协议遭攻击导致数亿美元损失，超过 20 个协议被迫关闭服务。

今年发生的两起最大规模攻击事件分别是 Drift Protocol 遭受的 2.85 亿美元损失，以及 Kelp DAO 在 4 月份遭遇的 2.92 亿美元损失。就在周一，Verus Protocol 的以太坊桥接机制因虚假跨链转账信息被攻击，导致至少 1160 万美元加密货币被盗。

与此同时，去中心化流动性平台 THORChain 因区块链安全专家 ZachXBT 发现疑似价值 1000 万美元的攻击行为而暂停交易，Transit Finance 也因智能合约漏洞损失了 188 万美元。午方 AI 分析认为，随着攻击手段从代码漏洞转向操作失误及社会工程学攻击，DeFi 基础设施的运营安全标准亟需全面提升，单一签名权限和缺乏铸造限制的设计模式已成为行业亟待解决的系统性风险。