Echo Protocol eBTC-Admin-Key-Mint
Admin-Key-Kompromittierung auf Echo Protocol minete 1.000 ungedeckte eBTC (~76,7 Mio. $ nominal); realisierter Verlust ~821 Tsd. $ via Tornado Cash.
- Datum
- Opfer
- Echo Protocol
- Status
- Teilweise zurückerlangt
Am 19. Mai 2026 wurde der Monad-basierte Wrapped-BTC-Emittent Echo Protocol von einer Admin-Key-Kompromittierung getroffen, die einem Angreifer erlaubte, 1.000 ungedeckte eBTC mit einem nominalen Nennwert von rund 76,7 Millionen Dollar zu minten. Der Angreifer nutzte einen Ausschnitt des Mints als Collateral auf dem in Echo integrierten Curvance-Lending-Markt, lieh wBTC dagegen, bridgte zu Ethereum und wusch ~384 ETH (~821.700 $) durch Tornado Cash, bevor Echo und Curvance die betroffenen Märkte suspendierten. Die Schlagzeilen-Zahl von 76,7 Mio. $ spiegelt den maximalen Risiko-Wert des ungedeckten Mints wider; der tatsächlich extrahierte Verlust beträgt rund 821 Tsd. $, der Rest wurde durch schnelles Pausieren eingedämmt.
Was geschah
Echo Protocol gibt eBTC als Wrapped-BTC-Repräsentation auf dem Monad L1 aus, mit Cross-Chain-Funktionalität zum Bridgen von eBTC nach Ethereum und auf andere Netzwerke. Die Mint-Autorität für eBTC war durch einen Admin-Key gegatet. Das Echo-Team hat den präzisen Kompromittierungsvektor nicht öffentlich offengelegt — das Geldwäsche-Muster und Timing sind konsistent mit dem breiteren 2025-2026-Muster der Endpoint-Level-Admin-Key-Kompromittierung (Phishing, Malware oder Supply-Chain), aber keine spezifische Zuschreibung wurde veröffentlicht.
Die Angriffskette:
- Der Angreifer, in Kontrolle des eBTC-Admin-Keys, minete 1.000 eBTC an eine angreifer-kontrollierte Wallet — ein Mint ohne zugrundeliegende BTC-Deckung.
- Der Angreifer deponierte rund 45 eBTC (nominal ~3,45 Mio. $) in Curvance, das Echos eBTC als Collateral whitelisted hatte, und lieh 11,3 wBTC (~868 Tsd. $) dagegen.
- Das geliehene wBTC wurde von Monad nach Ethereum gebridged über den Standard-Cross-Chain-Pfad des Protokolls.
- Das wBTC wurde zu ETH geswappt, was 384 ETH (~821.700 $) ergab, die an Tornado Cash gesendet wurden.
- Echo Protocol erkannte den ungedeckten Mint und suspendierte die Cross-Chain-Aktivität für eBTC; Curvance pausierte unabhängig seinen eBTC-Markt, um weitere Borrows gegen das ungedeckte Collateral zu verhindern.
- Die verbleibenden ~955 geminteten eBTC waren effektiv gestrandet — vom Angreifer gehalten, aber nicht in der Lage, irgendwo als Collateral eingesetzt oder zu einem Venue gebridged zu werden, das sie ehren würde.
Nachwirkungen
- Echo Protocol suspendierte Cross-Chain-Aktivität für eBTC.
- Curvance pausierte seinen eBTC-Lending-Markt und verhinderte weitere Borrows gegen die ungedeckten Tokens.
- Tatsächlicher extrahierter Wert: ~821 Tsd. $ in ETH über Tornado Cash.
- Nominaler Risiko-Wert: 76,7 Mio. $ — das Worst-Case-Szenario, wenn der vollständige ungedeckte Mint vor der Eindämmung als Collateral eingesetzt und dagegen geliehen worden wäre.
- Keine öffentliche Wiederherstellung des gewaschenen ETH.
- Echo Protocol verpflichtete sich zu einer öffentlichen Überprüfung der Admin-Key-Verwahrung und signalisierte einen Wechsel zu einem Multisig mit Timelock für künftige Mint-Autorität.
Warum es zählt
Echo Protocol ist ein nützlicher Katalog-Eintrag, weil er die Lücke zwischen nominalen und realisierten Verlusten bei Admin-Key-Vorfällen illustriert. Dasselbe Admin-Key-Kompromittierungs-Muster bei einem weniger eingedämmten Ziel hätte einen Verlust von 76,7 Mio. $ produziert — der Angreifer hatte das ungedeckte Angebot, und nur das schnelle Pausieren von Echo und Curvance verhinderte seinen Einsatz.
Das strukturelle Muster ist identisch mit Wasabi Protocol (30. Apr 2026, 5 Mio. $) — ein einzelner Admin-Key mit Mint- oder Upgrade-Autorität über einen großen Wert-Pool, auf Endpoint-Level kompromittiert. Das 2026er Muster bei beiden:
- Kein Timelock zwischen Admin-Aktion und Ausführung.
- Keine Multi-Signatur-Anforderung für wertschaffende Operationen.
- Cross-Chain-Reichweite — sobald das ungedeckte Asset existiert, bridget der Angreifer es, bevor das Monitoring einer einzelnen Chain reagieren kann.
Die defensiven Variablen, die Echos relativ eingedämmtes Ergebnis bestimmten:
- Schnelle Erkennung — der ungedeckte Mint war sofort On-Chain sichtbar, und das integrierte Lending-Venue (Curvance) wurde eng genug überwacht, um das abnorme Borrow in derselben Stunde zu erfassen.
- Koordiniertes Pausieren zwischen Emittent und integrierenden Protokollen — Curvances Bereitschaft, seinen eBTC-Markt bei unvollständiger Information zu pausieren, begrenzte die Borrow-Fläche des Angreifers.
- Cross-Chain-Bridge-Durchsatz — der Angreifer schaffte es nur, einen kleinen Bruchteil des nominalen Werts zu extrahieren, bevor das Pausieren wirksam wurde, teilweise weil High-Value-Bridges Ratenlimits haben.
Was nicht funktionierte, war Prävention: Die Admin-Key-Konfiguration, die das nicht autorisierte Minten erlaubte, war dasselbe Muster eines einzelnen EOA mit Mint-Autorität, das der breitere Katalog Vorfall für Vorfall durch 2025-2026 dokumentiert hat. Der Echo-Vorfall vom 19. Mai sitzt im selben Fünf-Tage-Cluster wie THORChain (15. Mai, ~10,8 Mio. $ Signing-Schema-Exploit) und die Verus-Ethereum-Bridge (18. Mai, 11,58 Mio. $ Value-Binding-Lücke), was Mitte Mai 2026 zur Periode macht, in der die Jahresthese „Bridges und Cross-Chain sind als dominantes Ziel zurück" in der Sicherheits-Monitoring-Community kristallisierte.
Quellen & On-Chain-Belege
- [01]cointelegraph.comhttps://cointelegraph.com/news/echo-protocols-ebtc-exploited-for-76m-in-admin-key-compromise
- [02]cryptoninjas.nethttps://www.cryptoninjas.net/news/echo-protocol-hack-sparks-76m-panic-after-hacker-mints-fake-ebtc-and-drains-eth/
- [03]cryptotimes.iohttps://www.cryptotimes.io/2026/05/19/echo-exploit-hacker-moves-821k-through-tornado-after-ebtc-mint/
- [04]beincrypto.comhttps://beincrypto.com/echo-protocol-monad-exploit-may-hacks/