O Echo Protocol sofreu uma exploração em sua implantação na Monad após um atacante mintar 1.000 eBTC não autorizados, avaliados em cerca de US$ 76,7 milhões. O protocolo afirma que a causa foi uma chave admin comprometida, enquanto a rede Monad seguiu operando normalmente.
O Echo Protocol, plataforma de Bitcoin DeFi, confirmou nesta terça-feira (19) uma exploração envolvendo eBTC na Monad. O atacante conseguiu criar 1.000 eBTC não autorizados, equivalentes a aproximadamente US$ 76,7 milhões, antes de usar parte desses ativos como garantia para extrair liquidez real do ecossistema.
Segundo o próprio Echo, a investigação inicial aponta para uma chave administrativa comprometida na implantação da Monad. A equipe estimou o impacto efetivo em cerca de US$ 816 mil e afirmou que a rede Monad em si não foi afetada. O caso é relevante porque reforça uma fragilidade recorrente em DeFi: mesmo quando o contrato funciona como foi desenhado, permissões concentradas podem virar um ponto único de falha.
Como o ataque aconteceu
De acordo com a Decrypt, o invasor mintou 1.000 eBTC na Monad e depositou 45 eBTC no Curvance, protocolo de lending e gestão de liquidez. Com essa garantia, tomou cerca de 11,29 WBTC emprestados, fez a ponte para Ethereum, converteu os ativos em ETH e enviou 384 ETH para o mixer Tornado Cash.
A Cointelegraph também reportou que empresas de análise on-chain, incluindo PeckShield e Lookonchain, acompanharam o fluxo dos fundos. Parte relevante dos eBTC criados sem autorização permaneceu sob controle do atacante inicialmente, mas o Echo disse ter retomado o controle das chaves admin e queimado os 955 eBTC restantes ligados ao incidente.
Na prática, isso reduz a diferença entre “valor mintado” e “perda realizada”. O número de US$ 76,7 milhões mostra o tamanho da emissão indevida, mas o dano líquido citado pelo protocolo fica mais próximo dos US$ 816 mil que foram convertidos ou movimentados para fora do ambiente afetado.
Monad não foi o alvo principal
O ponto técnico mais importante é que o incidente não parece ter sido uma falha da blockchain Monad. O problema, conforme a leitura inicial do Echo, ficou restrito à camada operacional do protocolo: chave admin, permissões de mint e controles de ponte.
Esse detalhe importa para usuários e desenvolvedores porque separa o risco da rede base do risco de aplicações construídas sobre ela. Uma L1 pode seguir produzindo blocos normalmente enquanto um protocolo específico sofre com desenho de permissões, gestão de chaves ou controles internos frágeis.
O episódio também conversa com uma preocupação que vem crescendo no mercado. O CriptoBR mostrou recentemente como um ataque à bridge Verus-Ethereum drenou US$ 11,5 milhões, em outro caso envolvendo infraestrutura cross-chain. Em abril, a pressão sobre segurança DeFi já tinha levado a uma resposta coordenada em mercados ligados ao hack da KelpDAO.
O que muda para DeFi
O Echo suspendeu transações cross-chain ligadas à Monad durante a investigação e pausou componentes relacionados por precaução. A equipe também informou que está revisando exposição de chaves, permissões de contrato, controles de mint e infraestrutura de ponte com parceiros do ecossistema e revisores externos.
Para o usuário comum, a lição é direta: “Bitcoin DeFi” não elimina automaticamente riscos operacionais. Tokens como eBTC podem representar BTC em novas redes e abrir oportunidades de rendimento, mas dependem de pontes, emissores, chaves administrativas e mercados de lending que precisam de limites de mint, multisig, timelock e verificações de sanidade de colateral.
O caso também chega em um momento em que o mercado discute segurança de forma mais ampla. A pauta sobre risco quântico, por exemplo, voltou ao radar depois que o Citi avaliou a exposição do Bitcoin a novas ameaças criptográficas, tema que o CriptoBR explicou na matéria Citi vê Bitcoin mais exposto a risco quântico.
A diferença é que, aqui, o risco não veio de uma tecnologia futurista. Veio de uma superfície bem conhecida: controle administrativo. Em DeFi, esse tipo de incidente costuma ser menos glamouroso do que um bug complexo em smart contract, mas pode ser igualmente caro quando o protocolo tem poder para criar ativos sintéticos sem travas suficientes.
Oliver Andrade é jornalista, empreendedor e uma das vozes mais ativas do ecossistema cripto brasileiro. Aos 32 anos, casado e pai, concilia a vida pessoal com uma trajetória intensa no mercado de ativos digitais que começou em 2020 — quando...
