Echo Protocol sufrió un incidente de seguridad importante en su despliegue sobre Monad después de que un atacante acuñara 1.000 eBTC no autorizados, un activo sintético de Bitcoin valorado entre $76 millones y $77 millones. La brecha se convirtió rápidamente en otra prueba de confianza para DeFi cross-chain, porque la cifra inicial parecía catastrófica, aunque estimaciones posteriores ubicaron el valor robado efectivo cerca de $816.000. Para usuarios y socios de liquidez, el exploit expuso la brecha entre daño nocional y pérdida recuperable, especialmente cuando activos sin respaldo pueden interactuar brevemente con mercados reales de préstamo.
#PeckShieldAlert @dcfgod reports that @EchoProtocol_ was hacked on @monad
The hacker minted 1k $eBTC ($76.7M) &, utilizing the tested flow, deposited 45 $eBTC ($3.45M) into Curvance. They then borrowed ~11.29 $WBTC ($867.7K) against it, bridged the $WBTC to #Ethereum, swapped… https://t.co/DjgI0v85Rw pic.twitter.com/wNnA77UDuI
— PeckShieldAlert (@PeckShieldAlert) May 18, 2026
La acuñación no autorizada genera un shock de liquidez
Las primeras revisiones de seguridad vincularon el incidente con acceso administrativo comprometido en la infraestructura de Echo, no con una falla de la red Monad. Esa distinción importa porque el exploit parece haber apuntado a permisos privilegiados de mint, no al consenso de la cadena base. Echo dijo que investigaba un problema de seguridad que afectaba su bridge en Monad y suspendió todas las transacciones cross-chain mientras continuaba la revisión. El riesgo central estuvo en el control de permisos, mostrando cómo una sola ruta administrativa puede convertirse en estrés sistémico cuando gobierna emisión de tokens en un despliegue DeFi activo.
La ruta del atacante mostró cómo la oferta sintética puede convertirse en liquidez real antes de que los equipos reaccionen. Tras acuñar los eBTC no autorizados, el explotador depositó 45 eBTC en Curvance, pidió prestados unos 11,29 WBTC, llevó los activos a Ethereum, los intercambió por ETH y envió aproximadamente 384 a 385 ETH a través de Tornado Cash. Curvance pausó el mercado afectado mientras enfatizaba que sus propios contratos inteligentes no parecían comprometidos. La ruta de lavado convirtió colateral falso en activos externos, haciendo que velocidad, monitoreo y diseño de mercados aislados sean piezas críticas de respuesta.
La oferta restante se volvió el eje de contención. Echo recuperó luego el control de las claves administrativas afectadas y quemó cerca de 955 eBTC, cortando la mayor parte del mint no autorizado antes de que pudiera convertirse. Eso deja una narrativa más compleja que el titular de $76 millones: la acuñación nominal fue enorme, pero la extracción real fue mucho menor. Aun así, el incidente deja otra advertencia sobre gobernanza y gestión de claves en DeFi, porque los sistemas cross-chain pueden parecer solventes hasta que falla el acceso privilegiado, y entonces la confianza depende de pausar contratos, rastrear activos, informar a usuarios y rediseñar roles antes de reabrir.
