피드로 돌아가기
Echo Protocol eBTC Admin Key Attack Investigation
Dev.toDev.to
Security

단일 EOA Admin Key 탈취로 인한 76.7M$ 규모 eBTC 무단 발행 및 816K$ 유출

Echo Protocol eBTC Admin Key Attack Investigation

qanzhi1112026년 6월 5일4intermediate

Context

Echo Protocol의 Monad 배포 버전이 단일 EOA private key 기반의 Admin 권한 체계를 유지함에 따른 보안 취약점 노출. Multisig나 Timelock 없이 DEFAULT_ADMIN_ROLE이 단일 지점에 집중되어 권한 탈취 시 전체 시스템 제어권이 즉시 상실되는 구조적 한계 보유.

Technical Solution

  • DEFAULT_ADMIN_ROLE 권한을 통한 MINTER_ROLE 자가 부여로 무제한 토큰 발행 경로 확보
  • 1,000 eBTC 무단 발행 후 추적 회피를 위해 Admin 권한을 스스로 revoke 하는 계획적 은폐 수행
  • Curvance Lending Protocol의 담보물 검증 부재를 이용해 fake eBTC를 collateral로 예치
  • WBTC 대출 후 Ethereum Mainnet 브릿징 및 Tornado Cash를 통한 자금 세탁 경로 구축
  • 유동성 부족으로 인해 발행량의 95.5%인 955 eBTC가 현금화되지 못한 채 소각 처리됨

- Admin 권한에 대해 최소 2-of-3 이상의 Multisig 및 Hardware Wallet 적용 여부 검토 - 권한 변경 및 주요 설정 수정 시 24~48시간의 Timelock 강제 적용 - 토큰 Minting에 대한 일일 한도(Daily Cap) 및 Rate Limiting으로 이상 징후 탐지 체계 구축 - 신규 발행 토큰의 담보 인정 전 특정 기간의 Cooldown 또는 Whitelist 메커니즘 도입

원문 읽기