Echo Protocolエクスプロイト解説：7,670万ドル分のeBTCが発行、実際の流出は100万ドル未満

今回の事件では、攻撃者がプロトコルの 管理者用プライベートキー にアクセスしたことで問題が発生しました。この権限により、攻撃者は 約1,000 eBTC（当時約7,670万ドル相当） を自由に発行できる状態になりました。

重要なのは、これは スマートコントラクトのバグではなかったという点です。原因はコードではなく、管理権限のセキュリティ管理の失敗でした。

攻撃者が実際に行った資金引き出しの流れ

攻撃者はDeFiでよく使われる手法を利用し、偽の担保を使って実資産を借り出しました。

1. 管理者キーを使って 1,000 eBTCを不正発行。
2. 45 eBTCをCurvanceに担保として預け入れ。
3. 約 11.29 WBTC（約86万ドル）を借入。
4. 借りたWBTCを Ethereumへブリッジ → ETHへ交換 → Tornado Cashへ送金。

ただし、eBTC市場の流動性が限られていたため、攻撃者は大量に発行したトークンを十分に現金化できませんでした。

その結果、実際の被害額は100万ドル未満にとどまりました。

なぜ「7,670万ドルハック」に見えたのか

ニュースで広く報じられた 7,670万ドル という数字は、

• 攻撃者が 不正発行した1,000 eBTCの理論価値

を指しています。

しかしその大部分は実際には引き出されておらず、事件当初は 約955 eBTCが攻撃者のウォレットに残った状態でした。

その後、Echo Protocolチームが管理権限を取り戻し、残り955 eBTCをバーン（焼却）。これにより将来の悪用リスクは排除されました。

Echo ProtocolとCurvanceの対応

Monadエコシステム内の複数のプロジェクトが迅速に対応しました。

Echo Protocol

• クロスチェーン取引を全面停止して調査開始。
• 侵害された 管理者キーのコントロールを回復。
• 攻撃者が保持していた 955 eBTCをバーン。

Curvance

• eBTC市場で異常を検知
• 該当レンディング市場を一時停止して追加借入を防止。

また、報告では Monadのネットワーク自体は侵害されていないとされています。問題はEcho Protocolのアプリケーションレベルで発生しました。

攻撃を可能にしたセキュリティ上の問題

調査では、いくつかの運用上の弱点が指摘されています。

• 管理者秘密鍵の侵害：トークン発行権限を直接掌握された。
• ミント制限の欠如：大量発行を防ぐ自動制限がなかった。
• ガバナンス保護不足：マルチシグやタイムロックなどの安全装置が欠けていた。

このような構造では、キーが盗まれると攻撃者が事実上プロトコル管理者になってしまいます。

DeFiセキュリティの大きなトレンド

今回の事件は、2026年のDeFi攻撃で目立つパターンとも一致しています。

多くの大型インシデントは スマートコントラクトのバグではなく、鍵管理やガバナンスの弱点 に起因しています。

つまり、コードが完全に正しく動作していても、管理者キーが盗まれればプロトコルは簡単に悪用される可能性があります。

まとめ

Echo Protocolの事件は、一見すると 7,670万ドル規模のハックに見えました。しかし実際には、DeFiの流動性制限と迅速な対応により、実被害は100万ドル未満に抑えられました。

同時に、この事件はDeFiにおいて

• スマートコントラクト監査
• 鍵管理
• ガバナンス設計

のすべてが安全でなければならないという、重要な教訓を改めて示しています。