Exploit en Echo Protocol: cómo se acuñaron $76,7M en eBTC falsos y cuánto se perdió realmente

El ataque comenzó cuando un actor malicioso obtuvo acceso a una clave privada administrativa asociada al despliegue del protocolo en Monad. Con ese acceso privilegiado, pudo acuñar aproximadamente 1.000 eBTC, que en ese momento tenían un valor teórico cercano a $76,7 millones.

Es importante destacar que no fue un error en el código del contrato inteligente. El problema fue operativo: al controlar la clave administrativa, el atacante podía emitir tokens que el resto del ecosistema DeFi trataba como legítimos.

Cómo el atacante convirtió tokens falsos en dinero real

Una vez creados los eBTC falsos, el atacante siguió un patrón típico en muchos exploits DeFi: usar activos sintéticos como colateral para pedir prestados tokens reales.

El proceso fue el siguiente:

1. Acuñó 1.000 eBTC no autorizados usando la clave administrativa comprometida.
2. Depositó 45 eBTC como colateral en el mercado de préstamos Curvance.
3. Con ese colateral pidió prestados 11,29 WBTC (Wrapped Bitcoin), valorados en unos $867.700.
4. Después movió esos WBTC a Ethereum, los cambió por ETH y envió parte de los fondos a Tornado Cash para dificultar el rastreo.

El motivo por el que el atacante no pudo extraer mucho más dinero es simple: la liquidez disponible para eBTC en los mercados era limitada. Antes de que pudiera repetir la operación a gran escala, los protocolos detectaron la actividad sospechosa y detuvieron los mercados relacionados.

Por qué se habló de un hack de $76,7 millones

La cifra que circuló en titulares —$76,7 millones— corresponde al valor teórico de los 1.000 eBTC falsos creados, no al dinero realmente robado.

La mayor parte de ese suministro nunca llegó a convertirse en activos reales. En los primeros análisis on‑chain se observó que el atacante todavía retenía alrededor de 955 eBTC en su cartera, lo que representaba casi todo el suministro fraudulento.

Tras recuperar el control de la clave administrativa, el equipo de Echo Protocol quemó esos 955 eBTC, eliminándolos del sistema y evitando que pudieran usarse posteriormente como colateral o venderse en el mercado.

Cómo respondieron Echo Protocol y Curvance

El ecosistema reaccionó rápidamente para limitar el daño.

Medidas de Echo Protocol

• Suspensión de todas las transacciones cross‑chain mientras se investigaba el incidente.
• Recuperación del control de la clave administrativa comprometida.
• Quema de los 955 eBTC restantes que habían sido acuñados durante el ataque.

Medidas de Curvance

• Detección de actividad anómala en su mercado vinculado a eBTC.
• Pausa temporal del mercado afectado para evitar nuevos préstamos usando colateral falso.

Los informes también aclararon que la red Monad en sí no fue hackeada. El problema se limitó a la aplicación (Echo Protocol) desplegada sobre esa infraestructura.

Fallos de seguridad que permitieron el exploit

Los investigadores identificaron varios problemas de gobernanza y seguridad operativa que facilitaron el ataque:

• Compromiso de la clave privada administrativa, que otorgaba permisos para acuñar tokens.
• Ausencia de límites estrictos de emisión, lo que permitió crear grandes cantidades de eBTC sin validaciones adicionales.
• Controles de gobernanza débiles, como la falta de sistemas multi‑firma o timelocks para operaciones sensibles.

Una vez comprometida la clave, el atacante tenía esencialmente el mismo poder que un administrador legítimo del protocolo.

Un patrón cada vez más común en DeFi

El incidente de Echo Protocol refleja una tendencia más amplia en el sector DeFi en 2026: muchos de los mayores exploits ya no provienen de fallos en contratos inteligentes, sino de problemas de gestión de claves, infraestructura o gobernanza.

En estos casos, el código puede funcionar exactamente como fue diseñado. Pero si un atacante obtiene una clave privilegiada, puede operar el protocolo como si fuera su propio administrador, saltándose cualquier seguridad programada en los contratos.

Conclusión

El exploit de Echo Protocol demuestra que en DeFi el acceso administrativo puede ser tan crítico como el código mismo. Aunque el incidente generó temporalmente decenas de millones de dólares en activos sintéticos, la rápida respuesta del ecosistema limitó la pérdida real a menos de $1 millón.

Para los desarrolladores DeFi, la lección es clara: auditorías de código no son suficientes si las claves administrativas y los mecanismos de gobernanza no están protegidos con múltiples capas de seguridad.