Le 19 mai 2026, un attaquant a exploité Echo Protocol, un protocole Bitcoin DeFi déployé sur la blockchain Monad, en mintant 1 000 eBTC non couverts d’une valeur d’environ 76,7 millions de dollars. L’exploitation a été rendue possible par une clé admin privée compromise et non par un bug dans le code du smart contract. L’attaquant a utilisé cette clé pour s’attribuer les rôles DEFAULT_ADMIN_ROLE et MINTER_ROLE, révoquant l’admin légitime, avant de minter librement les tokens synthétiques.
Comment les fonds ont été drainés, et ce qu’il reste
Une fois les faux eBTC en main, l’attaquant en a déposé 45 sur Curvance comme collatéral, emprunté 11,29 WBTC (~867 000$), bridgé vers Ethereum, swappé en ETH, puis envoyé 384 ETH (~822 000$) via Tornado Cash. La perte réelle confirmée est donc d’environ 816 000 dollars en valeur réelle. Les 955 eBTC restants (~73M$) sont toujours dans le wallet de l’attaquant mais sont inutilisables : la profondeur de liquidité sur Monad ne peut pas absorber une sortie de cette taille. Echo a récupéré les clés admin, brûlé les eBTC restants et suspendu toutes les transactions cross-chain. C’est le 14e hack DeFi du mois de mai 2026.
⚠️ Cet article est à titre informatif uniquement et ne constitue pas un conseil financier. Les cryptomonnaies sont des actifs hautement volatils. Effectuez toujours vos propres recherches avant tout investissement.
