El Protocolo Echo de Monad sufre un exploit de acuñación de eBTC por $76M

Cripto acaba de registrar su tercer hackeo importante en cuatro días. Echo Protocol en la blockchain de Monad sufrió una brecha de seguridad crítica el 19 de mayo de 2026, tras que un atacante comprometiera la clave privada de administrador del contrato de eBTC. 

Usando ese acceso, el hacker acuñó 1,000 eBTC valorados en aproximadamente $76.64 millones de la nada. El incidente sigue al exploit de $10.7 millones en THORChain el 15 de mayo y al vaciado de $11.5 millones del Puente Verus-Ethereum el 18 de mayo. Las noticias cripto de hoy muestran un patrón sombrío, y Echo Protocol es su última víctima.

Cómo se Desarrolló el Ataque

La causa raíz fue devastadoramente simple. El rol de administrador del contrato de eBTC era controlado por una única clave privada sin protección multisig y sin timelock. Una vez que el atacante comprometió esa clave, todo ocurrió rápidamente.

El atacante primero obtuvo el DEFAULT_ADMIN_ROLE. Luego revocó al administrador original y se otorgó a sí mismo el MINTER_ROLE. Con la autoridad de acuñación asegurada, creó 1,000 eBTC por tarifas de gas insignificantes, aproximadamente $0.0003. Es decir, $76.64 millones acuñados por menos de una fracción de centavo.

El atacante actuó rápido. Depositó 45 eBTC, valorados en aproximadamente $3.45 millones, en Curvance, un protocolo de préstamos que opera en Monad. Usando ese colateral, tomó prestado 11.3 WBTC por aproximadamente $867,000. Realizó un bridge del WBTC a Ethereum, lo intercambió por aproximadamente 385 ETH, y depositó esos fondos en Tornado Cash para lavar las ganancias. El atacante aún conserva 955 eBTC, valorados en aproximadamente $73.2 millones, en su billetera. Sin embargo, esos tokens son activos sintéticos sin respaldo y sin colateral real de BTC detrás de ellos.

Dos Protocolos Fallaron Simultáneamente

Las noticias de Monad en torno a este incidente aclaran un punto importante. La chain de Monad en sí no fue comprometida. Este fue un fallo operativo a nivel de protocolo, no una vulnerabilidad a nivel de chain.

Dos fallos de seguridad convergieron. Primero, el control de administrador de clave única de Echo Protocol no tenía multisig, no tenía timelock, no tenía límite de acuñación ni límites de velocidad. Segundo, Curvance aceptó el eBTC sintético recién acuñado como colateral sin ningún filtrado de origen ni verificación de suministro. Esa brecha de componibilidad permitió al atacante extraer valor real antes de que alguien pudiera intervenir.

Curvance ahora enfrenta deuda incobrable por la posición infracolateralizada. Los proveedores de liquidez de WBTC cargan con la pérdida financiera principal de los fondos prestados. Echo Protocol confirmó el incidente públicamente y suspendió todas las transacciones cross-chain mientras continúa la investigación.

Qué Significa Esto para Inversores y Desarrolladores

Para los inversores, tres exploits que totalizan más de $98 millones en cuatro días exigen atención. El entorno de seguridad DeFi en mayo de 2026 es sumamente peligroso. Cada ataque expuso una vulnerabilidad diferente: un fallo de implementación TSS en THORChain, una brecha de validación de cantidad de origen en Verus, y un compromiso de administrador de clave única en Echo Protocol.

Para los desarrolladores, el hackeo de Echo Protocol entrega tres lecciones innegociables. Los roles de administrador en activos acuñables deben requerir multisig. Los timelocks deben proteger las funciones privilegiadas críticas. Los protocolos de préstamos deben filtrar los orígenes del colateral y verificar la integridad del suministro antes de aceptar activos sintéticos.

Las noticias de Tornado Cash en torno a este incidente añaden una dimensión familiar. La herramienta de lavado continúa sirviendo como la ruta de salida preferida por los atacantes de DeFi a pesar de la presión regulatoria continua. La industria tiene el conocimiento técnico para prevenir cada uno de estos ataques. La pregunta es si los protocolos lo implementarán antes de que llegue el próximo exploit.

The post Monad's Echo Protocol Drained for $76M in eBTC Minting Exploit appeared first on Coinfomania.