Mint eBTC por clave admin de Echo Protocol
Compromiso de clave admin en Echo Protocol minteó 1.000 eBTC sin respaldo (~$76,7M nominales); pérdida real ~$821K vía Tornado Cash tras pausa rápida.
- Fecha
- Víctima
- Echo Protocol
- Estado
- Parcialmente recuperado
El 19 de mayo de 2026, el emisor de BTC envuelto basado en Monad Echo Protocol fue golpeado por una compromisión de clave admin que permitió a un atacante mintear 1.000 eBTC sin respaldo con un valor nominal de aproximadamente $76,7 millones. El atacante usó una porción del mint como colateral en el mercado de préstamo Curvance integrado con Echo, pidió prestado wBTC contra ello, lo bridgeó a Ethereum, y blanqueó 384 ETH ($821.700) a través de Tornado Cash antes de que Echo y Curvance suspendieran los mercados afectados. La cifra titular de $76,7M refleja el valor máximo en riesgo del mint sin respaldo; la pérdida real extraída es de aproximadamente $821K, conteniendo el resto mediante pausa rápida.
Qué ocurrió
Echo Protocol emite eBTC como una representación envuelta de BTC en el L1 Monad, con funcionalidad cross-chain para bridgear eBTC a Ethereum y otras redes. La autoridad de mint para eBTC estaba protegida por una clave admin. El equipo Echo no ha divulgado públicamente el vector preciso de compromiso — el patrón de blanqueo y la temporización son consistentes con el patrón más amplio de 2025-2026 de compromiso de clave admin a nivel de endpoint (phishing, malware o supply-chain), pero no se ha publicado atribución específica.
La cadena de ataque:
- El atacante, en control de la clave admin de eBTC, minteó 1.000 eBTC a una wallet controlada por el atacante — un mint sin respaldo BTC subyacente.
- El atacante depositó aproximadamente 45 eBTC (nominales ~$3,45M) en Curvance, que tenía whitelist al eBTC de Echo como colateral, y pidió prestados 11,3 wBTC (~$868K) contra ello.
- El wBTC prestado fue bridgeado de Monad a Ethereum vía la ruta cross-chain estándar del protocolo.
- El wBTC fue swapeado por ETH, produciendo 384 ETH (~$821.700), que fueron enviados a Tornado Cash.
- Echo Protocol detectó el mint sin respaldo y suspendió la actividad cross-chain para eBTC; Curvance independientemente pausó su mercado de eBTC para prevenir préstamos adicionales contra el colateral sin respaldo.
- Los ~955 eBTC minteados restantes quedaron efectivamente varados — en manos del atacante pero incapaces de ser desplegados como colateral en ningún lugar o bridgeados a un sitio que los honraría.
Consecuencias
- Echo Protocol pausó la actividad cross-chain para eBTC.
- Curvance pausó su mercado de préstamos de eBTC, previniendo préstamos adicionales contra los tokens sin respaldo.
- Valor real extraído: ~$821K en ETH vía Tornado Cash.
- Valor nominal en riesgo: $76,7M — el peor escenario si el mint sin respaldo completo se hubiera desplegado como colateral y pedido prestado contra ello antes de la contención.
- Sin recuperación pública del ETH blanqueado.
- Echo Protocol se comprometió a una revisión pública de la custodia de claves admin y señaló un cambio a un multi-sig con timelock para la autoridad de mint futura.
Por qué importa
Echo Protocol es una entrada útil al catálogo porque ilustra la brecha entre pérdida nominal y realizada en incidentes de clave admin. El mismo patrón de compromiso de clave admin en un objetivo menos contenido habría producido una pérdida de $76,7M — el atacante tenía la oferta sin respaldo, y solo la pausa rápida de Echo y Curvance evitó su despliegue.
El patrón estructural es idéntico a Wasabi Protocol (30 abr 2026, $5M) — una única clave admin con autoridad de mint o actualización sobre un gran pool de valor, comprometida a nivel de endpoint. El patrón 2026 en ambos:
- Sin timelock entre la acción admin y la ejecución.
- Sin requisito de múltiple firma para operaciones que crean valor.
- Alcance cross-chain — una vez que el activo sin respaldo existe, el atacante lo bridgea antes de que la monitorización de una sola cadena pueda reaccionar.
Las variables defensivas que determinaron el resultado relativamente contenido de Echo:
- Detección rápida — el mint sin respaldo era visible on-chain inmediatamente, y el sitio de préstamo integrado (Curvance) estaba monitoreado lo suficientemente de cerca como para capturar el préstamo anormal dentro de la misma hora.
- Pausa coordinada entre emisor y protocolos integradores — la voluntad de Curvance de pausar su mercado de eBTC con información incompleta limitó la superficie de préstamo del atacante.
- Caudal del puente cross-chain — el atacante solo logró extraer una pequeña fracción del valor nominal antes de que la pausa surtiera efecto, en parte porque los puentes de alto valor tienen límites de tasa.
Lo que no funcionó fue prevención: la configuración de clave admin que permitió el mint no autorizado era el mismo patrón de única EOA con autoridad de mint que el catálogo más amplio ha documentado incidente por incidente a lo largo de 2025-2026. El incidente de Echo del 19 de mayo se inscribe en el mismo clúster de cinco días que THORChain (15 de mayo, ~$10,8M de exploit de esquema de firma) y el puente Verus-Ethereum (18 de mayo, $11,58M de brecha de vinculación de valor), haciendo de mediados de mayo de 2026 el período en que la tesis del año "los puentes y cross-chain están de vuelta como objetivo dominante" se cristalizó en la comunidad de monitorización de seguridad.
Fuentes y evidencia on-chain
- [01]cointelegraph.comhttps://cointelegraph.com/news/echo-protocols-ebtc-exploited-for-76m-in-admin-key-compromise
- [02]cryptoninjas.nethttps://www.cryptoninjas.net/news/echo-protocol-hack-sparks-76m-panic-after-hacker-mints-fake-ebtc-and-drains-eth/
- [03]cryptotimes.iohttps://www.cryptotimes.io/2026/05/19/echo-exploit-hacker-moves-821k-through-tornado-after-ebtc-mint/
- [04]beincrypto.comhttps://beincrypto.com/echo-protocol-monad-exploit-may-hacks/