Giao thức Echo trên Monad bị tấn công, hacker mint 1.000 eBTC giả để vay WBTC thật

Echo Protocol bị hacker chiếm quyền admin để mint 76 triệu USD eBTC ảo, thế chấp 45 eBTC trên Curvance để vay WBTC thật rồi rửa tiền qua Tornado Cash.

Giao thức Echo trên Monad bị tấn công, hacker mint 1.000 eBTC giả để vay WBTC thật

Giao thức Bitcoin DeFi Echo Protocol đã bị hacker tấn công sau khi kẻ xấu chiếm được quyền admin của hợp đồng eBTC, rồi tự mint ra lượng lớn eBTC mà không có tài sản đảm bảo. Hacker sau đó mang số token này đi thế chấp trên giao thức lending Curvance để vay WBTC thật, rồi chuyển tài sản sang Ethereum và rửa tiền thông qua Tornado Cash.

Echo Protocol bị tấn công trên Monad

Vào ngày 19/05, cộng đồng crypto xôn xao trước thông tin giao thức BTCFi Echo Protocol trên mạng Monad bị hacker tấn công. Người đầu tiên phát hiện vụ việc là tài khoản @dcfgod trước khi nhiều nền tảng phân tích on-chain khác như Onchain Lens và Lookonchain tiếp tục công bố thêm chi tiết về vụ tấn công.

gm @EchoProtocol_ may be hacked on @monad

Someone minted 1k ebtc out of nowhere, max borrowed wbtc against it on @Curvance, bridged, and tornado away

— DCF GOD (@dcfgod) May 18, 2026

Cụ thể, hacker đã có được quyền admin cao nhất (DEFAULT_ADMIN_ROLE) của hợp đồng eBTC. Sau đó, địa chỉ này tự cấp thêm cho mình quyền mint token (MINTER_ROLE), rồi tạo ra 1.000 eBTC trên Monad, tương đương khoảng 76,6 triệu USD. 

Monad eBTC/Curvance trace: not a Curvance lending bug.

The eBTC admin granted DEFAULT_ADMIN_ROLE to 0x6A0109, who revoked admin, self-granted MINTER_ROLE, minted 1,000 eBTC, posted 45 eBTC as collateral, and borrowed ~11.296 WBTC.

Looks like admin-key/role compromise.

Key… pic.twitter.com/TXRvYUWtxK

— Odysseus | phylax.systems (@odysseas_eth) May 18, 2026

Sau khi mint token, hacker đã gửi 45 eBTC, trị giá khoảng 3,45 triệu USD, lên giao thức lending Curvance để làm tài sản thế chấp, rồi vay ra khoảng 11,29 WBTC, tương đương gần 867.000 USD.

Crazy — another hack just happened!

According to @dcfgod, @EchoProtocol_ on Monad was exploited.

The hacker:
minted 1,000 $eBTC ($76.64M) on Monad;
deposited 45 $eBTC ($3.45M) into Curvance;
borrowed 11.3 $WBTC ($867K) from Curvance;
bridged the 11.3 $WBTC to Ethereum and… pic.twitter.com/YeGiUFGS1j

— Lookonchain (@lookonchain) May 19, 2026

Sau khi vay được WBTC thật từ Curvance, hacker đã bridge toàn bộ số BTC này sang Ethereum, swap thành ETH và chuyển tiếp vào Tornado Cash để che giấu dòng tiền. Theo thống kê, kẻ tấn công đã đổi số WBTC thành khoảng 385 ETH, trị giá hơn 820.000 USD ở thời điểm thực hiện giao dịch.

Hacker vẫn đang nắm giữ hơn 73 triệu USD eBTC

Mặc dù vụ tấn công chỉ giúp hacker rút được khoảng 820.000 USD, thế nhưng địa chỉ ví đứng sau vụ tấn công hiện vẫn đang nắm giữ tới 955 eBTC, tương đương khoảng 73,2 triệu USD.

Tuy nhiên, phần lớn số eBTC này gần như không thể chuyển đổi thành tiền thật. Nguyên nhân là bởi lượng eBTC mà hacker mint ra thực chất không có tài sản đảm bảo đứng sau, trong khi thanh khoản của token này trên Monad lại quá thấp để hấp thụ lượng cung khổng lồ vừa được mint trái phép. 

Hiện tại, trên Monad chỉ có Curvance và Uniswap là hai nền tảng chính hỗ trợ giao dịch và sử dụng eBTC. Tuy nhiên, ngay sau khi vụ hack bị phát hiện,  Curvance đã nhanh chóng đóng market eBTC để tránh hacker tiếp tục vay thêm tài sản thật, trong khi eBTC trên Uniswap cũng bị đánh dấu là token độc hại. Thanh khoản của token này hiện gần như cạn kiệt với tổng giá trị LP chỉ còn khoảng 1.400 USD.

Điều này khiến hacker gần như không còn khả năng bán tiếp số eBTC còn lại ra thị trường. Vì vậy, dù ví của kẻ tấn công trên lý thuyết vẫn đang nắm giữ hơn 73 triệu USD eBTC, phần lớn số tài sản này thực tế gần như không thể đổi thành tiền thật do không còn thanh khoản.

Curvance và Monad lên tiếng

Ngay sau khi vụ việc, Curvance đã nhanh chóng lên tiếng xác nhận phát hiện hoạt động bất thường liên quan đến thị trường cho vay eBTC của Echo Protocol.

At approximately 6:00 PM EST, we were made aware of an anomaly detected in the Echo eBTC market on Curvance. At this time, there is no indication of any compromise with Curvance’s smart contracts.

Due to Curvance’s fully isolated market architecture, no other markets are…

— Curvance (@Curvance) May 18, 2026

Trong thông báo chính thức, Curvance khẳng định smart contract của dự án không bị hack. Giao thức này cho biết cơ chế “isolated market” đã giúp cô lập sự cố chỉ trong market eBTC, nên các pool và thị trường lending khác trên nền tảng không bị ảnh hưởng. Curvance cũng nói thêm rằng hiện chưa phát hiện dấu hiệu nào cho thấy hệ thống của dự án gặp vấn đề bảo mật.

Dù vậy, để đảm bảo an toàn, Curvance đã lập tức tạm dừng market eBTC và phối hợp cùng các đối tác trong hệ sinh thái Monad để điều tra nguyên nhân vụ việc.

Đồng sáng lập Monad là Keone Hon cũng lên tiếng trấn an cộng đồng rằng bản thân mạng lưới Monad không bị ảnh hưởng và vẫn hoạt động bình thường. Ông cho biết các nhà nghiên cứu bảo mật bước đầu xác định khoảng 816.000 USD đã bị hacker đánh cắp thông qua vụ hack liên quan đến eBTC.

To clarify, the Monad network is not affected and is operating normally

Security researchers in their review have determined that ~$816,000 appears to have been stolen as a result of this exploit of @EchoProtocol_ ‘s eBTC

— Keone Hon (@keoneHD) May 18, 2026

Về phía Echo Protocol, dự án sau đó cũng đăng tải thông báo xác nhận đang điều tra sự cố bảo mật ảnh hưởng đến Echo bridge trên Monad. Đồng thời, tạm ngưng toàn bộ giao dịch cross-chain để hỗ trợ quá trình rà soát và đánh giá thiệt hại.

Cộng đồng chỉ trích cả Echo lẫn Curvance

Sự cố của Echo Protocol đã nhanh chóng làm dấy lên nhiều tranh cãi trong cộng đồng crypto về tính bảo mật của các dự án trên hệ sinh thái Monad, đặc biệt là cách các dự án DeFi quản lý quyền admin và kiểm soát rủi ro đối với tài sản thế chấp.

Nhiều ý kiến chỉ trích Echo Protocol đã không áp dụng các cơ chế bảo mật phổ biến như multisig hay timelock cho quyền mint eBTC. Vì vậy, chỉ cần một ví admin bị hacker chiếm quyền kiểm soát là đã có thể tự tạo ra lượng lớn eBTC ảo.

巨大的草台班子。

Echo Protocol 的eBTC 合约管理员私钥被盗，黑客授权自己无限铸币权限，在 @monad 链上铸造了1000枚eBTC。

你没看错。这么重要的权限，@EchoProtocol_ 团队既没用多签也没设置时间锁。

更耐人寻味的是，Monad 链上原生的龙头借贷协议 @Curvance 支持eBTC… pic.twitter.com/8InQZd9Hzf

— yyy (@y_cryptoanalyst) May 19, 2026

Trong khi đó, Curvance cũng bị cộng đồng đặt dấu hỏi về công tác quản trị rủi ro khi cho phép eBTC trở thành tài sản thế chấp dù token này còn khá mới và chưa có nhiều lớp kiểm soát bảo mật. 

Một số người thì cho rằng vụ việc là ví dụ điển hình cho rủi ro của DeFi, khi các giao thức liên kết và sử dụng tài sản của nhau. Vì vậy, chỉ cần một dự án gặp sự cố hoặc bị hack thì những dự án liên quan cũng có thể bị ảnh hưởng theo, dù bản thân chúng không có lỗi bảo mật trực tiếp.

Theo thống kê từ DefiLlama, trước vụ việc của Echo Protocol đã có ít nhất 13 sự cố bảo mật xảy ra chỉ trong chưa đầy một tháng.

Thống kê các vụ hack từ đầu tháng 05/2026. Nguồn: DefiLlama (Ngày 19/05/2026)

Lookonchain cho biết vụ hack Echo là sự cố lớn thứ ba chỉ trong vòng 4 ngày trở lại đây. Trước đó, THORChain đã bị hack hơn 10 triệu USD vào ngày 15/05, còn cầu nối Verus-Ethereum tiếp tục bị hacker đánh cắp khoảng 11,5 triệu USD vào ngày 18/05.

Three major hacks in just 4 days!

On May 15, #THORChain was exploited, with stolen funds exceeding $10M.

On May 18, the Verus-Ethereum Bridge (@VerusCoin) was hacked, with ~$11.5M stolen.

Today, @EchoProtocol_ was exploited, the hacker minted 1,000 $eBTC ($76.64M) and has… pic.twitter.com/nAq4HEQ1iD

— Lookonchain (@lookonchain) May 19, 2026

Coin68 tổng hợp