Echo Protocol a été touché par une faille majeure sur Monad, après la création non autorisée d’environ 1 000 eBTC, valorisés près de 76,7 millions de dollars. L’incident ne ressemble pas au scénario classique d’un bug de smart contract. Il pointe surtout vers un problème plus brutal : une clé d’administration compromise. Et dans la DeFi, une seule clé trop puissante peut parfois peser plus lourd que tout le code.
Une attaque rapide autour d’un actif Bitcoin synthétique
Cette affaire rappelle que la DeFi inter-chaînes peut vite devenir un point de fragilité. L’attaque vise eBTC, un actif Bitcoin synthétique utilisé par Echo Protocol pour apporter de la liquidité BTC dans la DeFi. Le protocole est déployé sur Monad, une blockchain de couche 1 compatible EVM. Selon Cointelegraph, l’attaquant a frappé en créant environ 1 000 eBTC sans autorisation. Echo Protocol a ensuite suspendu les transactions cross-chain pendant l’enquête.
Le détail est important. Il ne s’agit pas d’un vol direct de bitcoins déposés dans un coffre visible. L’attaquant a plutôt produit un actif censé représenter du Bitcoin. Ensuite, il a tenté de l’utiliser dans d’autres briques DeFi pour extraire une valeur réelle.
C’est là que le risque systémique apparaît. Un actif synthétique peut devenir dangereux lorsqu’un protocole tiers l’accepte comme garantie sans vérifier assez fortement son origine, son plafond d’émission ou les droits capables de le créer.
Curvance pris dans l’effet domino
Après le mint frauduleux, l’attaquant a déposé 45 eBTC sur Curvance, soit environ 3,45 millions de dollars en valeur faciale. Il a ensuite emprunté environ 11,3 wBTC, pour près de 868 000 dollars. Ces fonds ont été transférés vers Ethereum, convertis en ETH, puis une partie a été envoyée vers Tornado Cash.
Cette nuance compte. Le choc nominal tourne autour de 76,7 millions de dollars en eBTC créés. Mais la valeur effectivement extraite semble nettement plus faible, autour de 0,8 à 0,9 million de dollars selon les éléments disponibles. L’écart ne rend pas l’incident anodin. Il montre plutôt comment une émission abusive peut menacer plusieurs marchés avant même que toute la valeur créée ne soit convertie.
Curvance affirme ne pas avoir subi de compromission de ses propres smart contracts. Le protocole a suspendu le marché eBTC concerné et indiqué que ses autres marchés restaient isolés. Cette précision compte, car l’incident montre une faille de dépendance plus qu’une simple faille interne.
Autrement dit, Curvance n’a pas forcément été cassé. Il a surtout accepté un collatéral qui venait d’être fabriqué de manière abusive. C’est un problème plus subtil, proche des risques que l’on retrouve parfois dans les métriques DeFi trop vite considérées comme fiables. Et souvent plus difficile à vendre au grand public, car la chaîne des responsabilités devient floue.
Le vrai sujet : la gouvernance des clés
Des chercheurs ont indiqué que la cause probable serait une compromission de clé privée admin. Un développeur cité par Cointelegraph estime que le contrat eBTC a fonctionné comme prévu. Le souci viendrait plutôt d’un pouvoir d’administration trop concentré : signature unique, absence de timelock, absence de plafond d’émission et manque de garde-fous sur le mint.
C’est le cœur de l’affaire. La DeFi parle souvent de décentralisation, mais beaucoup de protocoles gardent des boutons d’urgence très centralisés. Ces boutons peuvent être utiles pour corriger une crise. Mais entre de mauvaises mains, ils deviennent une machine à imprimer des pertes.
Un multisig robuste, un délai d’exécution, des limites d’émission et des contrôles de marché auraient pu ralentir l’attaque. Peut-être pas l’empêcher totalement. Mais la vitesse compte. Dans la crypto, quelques minutes suffisent pour transformer une erreur opérationnelle en crise publique, surtout lorsque des pools DeFi acceptent rapidement un actif comme garantie.
Monad veut éviter la contagion narrative
Monad a rapidement cherché à se démarquer de l’incident. Son cofondateur Keone Hon a affirmé que le réseau Monad n’était pas affecté et continuait de fonctionner normalement. C’est une ligne de défense logique. L’attaque touche un protocole déployé sur Monad, pas forcément l’infrastructure de Monad elle-même.
Cette distinction est essentielle pour l’écosystème. Une blockchain peut rester techniquement saine alors qu’une application construite dessus se fait exploiter. Mais pour les utilisateurs, la nuance est parfois invisible. Ils voient un nom, une perte, un pont suspendu. Le reste devient du bruit.
L’affaire Echo Protocol rappelle donc une règle simple : la sécurité DeFi ne se limite pas au code. Elle dépend aussi des clés, des oracles, des plafonds, de la liquidité et des protocoles connectés. Quand les fonds passent ensuite par des outils de confidentialité, comme dans d’autres dossiers où le gel rapide de fonds crypto devient un enjeu central, chaque minute perdue réduit les chances de réaction.
En bref
- Echo Protocol a subi un mint non autorisé d’environ 1 000 eBTC.
- La piste principale mène à une clé admin compromise.
- L’incident relance le débat sur les garde-fous des actifs synthétiques en DeFi.
