Hacker creëert 1.000 nep-Bitcoins en steelt 76,7 miljoen van Echo Protocol

dinsdag, 19 mei 2026 (13:40) - Newsbit.nl

In dit artikel:

Het DeFi‑project Echo Protocol is recent doelwit geworden van een grootschalige aanval waarbij een kwaadwillende ongeveer 1.000 eBTC (synthetische Bitcoin) heeft gecreëerd, naar schatting goed voor circa 76,7 miljoen dollar. Het protocol draait op Monad, een Ethereum‑compatibele blockchain; beveiligingsbedrijven PeckShield en Lookonchain maakten de kwestie openbaar en Echo schortte direct alle cross‑chain transacties op terwijl een onderzoek loopt.

Blockchain‑analyse laat zien dat de dader onmiddellijk begon met het verplaatsen en versnipperen van waarde via andere DeFi‑diensten. Ongeveer 45 eBTC (≈3,45 miljoen dollar) werden gestort bij Curvance, waaruit de aanvaller 11,3 wrapped Bitcoin leende en deze omzette naar Ethereum. Vervolgens ging 384 ETH (≈822.000 dollar) naar Tornado Cash, een cryptomixer die gebruikt wordt om transacties te verhullen. Volgens DeBank houdt de aanvaller nog ongeveer 955 eBTC aan, een waarde van ruim 73 miljoen dollar.

Uit onderzoek van ontwikkelaars blijkt dat de oorzaak niet lag bij een fout in het eBTC‑smartcontract, maar bij compromittering van een beheerders‑privésleutel. Daardoor kreeg de aanvaller beheerdersrechten waarmee mint‑acties mogelijk waren. Marioo, een blockchainontwikkelaar, wees erop dat operationele tekortkomingen — geen multisig‑vereiste, geen limieten op minting, geen timelocks of extra checks voor nieuw onderpand — het misbruik mogelijk maakten ondanks technisch correcte contractcode.

Betrokken partijen reageren: Curvance meldt dat hun smart contracts intact zijn, maar legde de getroffen eBTC‑markt stil; Monad‑medeoprichter Keone Hon gaf aan dat het Monad‑netwerk zelf niet is aangetast. Echo Protocol belooft later meer informatie via officiële kanalen.

Deze aanval is het nieuwste voorbeeld in een reeks DeFi‑exploits; alleen deze maand werden al minstens twaalf protocollen aangevallen. In het afgelopen jaar liepen gebruikers en projecten honderden miljoenen dollars mis door soortgelijke incidenten (bijv. Drift, Kelp DAO, Verus). De zaak benadrukt opnieuw de cruciale rol van robuuste operationele beveiliging — zoals multisig‑beheer, mint‑limieten en timelocks — en de moeilijke praktijk van het terughalen van gestolen crypto wanneer mixers en cross‑chain routes worden ingezet.