Autopsie du piratage d'Echo Protocol : l'exploit de 76 millions de dollars qui n'était pas vraiment un piratage

Les pertes DeFi en 2026 ont dépassé le milliard de dollars en quatre mois, le seul mois d'avril ayant drainé 634 millions de dollars sur plus de 28 incidents, le pire mois jamais enregistré.

Drift (285 millions de dollars) et KelpDAO (292 millions de dollars) représentaient à eux seuls 577 millions de dollars de pertes d'avril, et aucun des deux n'était un exploit de code.

L’analyse du piratage de DefiLlama en 2026 raconte la même chose.

Les tranches les plus importantes sont les exploits du pont LayerZero (18 %), les clés d'administration compromises (16 %), les jetons d'usurpation d'identité (14 %) et les compromissions de clés privées (11 %).

Les échecs combinés, opérationnels et de gestion des clés, représentent la majorité de toute la valeur volée cette année. Les bugs des contrats intelligents comme la réentrée et la manipulation d'oracle sont à peine enregistrés.

Echo Protocol vient de devenir le dernier point de données.

Le 18 mai, un attaquant a pénétré par effraction dans le protocole Echo sur Monad et a imprimé 1 000 faux eBTC pour lui-même. Cela représente 76,7 millions de dollars sur papier.

Le problème est que les faux jetons ne vous achètent rien à moins que vous puissiez les échanger contre quelque chose de réel. Ils en ont donc pris une petite partie, l’ont déposé dans l’application de prêt de Curvance comme garantie et ont emprunté du vrai Bitcoin contre cette somme.

Ensuite, j'ai relié ce Bitcoin à Ethereum, je l'ai échangé contre $ETH et je l'ai fait passer par Tornado Cash. Prise finale : environ 816 000 $.

Tout le monde appelle cela 76,7 millions de dollars, mais le chiffre réel est de 816 000 dollars, et la raison pour laquelle ces deux chiffres sont si éloignés est l’histoire principale ici.

Plus tôt dans la journée, Echo Protocol a identifié une activité non autorisée impliquant eBTC sur Monad qui a entraîné une frappe non autorisée et une perte de fonds associée. Notre enquête indique que le problème provenait d'une clé d'administration compromise affectant le déploiement de Monad. Basé sur l’actuel…

– Protocole d'écho (@EchoProtocol_) 19 mai 2026

Cette ventilation couvre ce qui s'est passé, comment et ce que cela dit sur la sécurité DeFi à l'heure actuelle.

L’essentiel : le contrat était bien. Une clé d’administrateur volée et des contrôles paresseux ont fait tout le reste, et c’est ainsi que se produisent la plupart des pertes DeFi de 2026.

Post Mortem (le résumé)

Echo Protocol n’a pas été piraté via un mauvais code de contrat intelligent. L'attaquant a volé ou accédé à une clé d'administrateur.

Cette clé d'administrateur contrôlait les droits de frappe du jeton eBTC d'Echo sur Monad. Une clé privée suffisait pour créer de faux jetons adossés à Bitcoin.

L’attaquant a créé 1 000 faux eBTC, d’une valeur d’environ 76,7 millions de dollars sur papier. Mais ces jetons n’avaient pas de véritable support $ BTC.

Ils n’ont pas pu encaisser la totalité du montant car les liquidités de Monad étaient limitées. Ils ont donc utilisé 45 faux eBTC comme garantie sur Curvance.

Curvance a accepté le faux eBTC comme garantie normale et a laissé l'attaquant emprunter du vrai WBTC.

L'agresseur s'est enfui avec environ 816 000 dollars en valeur réelle, et non 76,7 millions de dollars.

Echo a ensuite brûlé les 955 faux eBTC restants et mis en pause les fonctions concernées.

Monad lui-même n'a pas été piraté. Le protocole principal de Curvance n’a pas non plus été directement piraté. L’échec est venu de la configuration administrative d’Echo et de la confiance de Curvance dans les nouvelles garanties.

La leçon principale : les attaquants DeFi ciblent désormais davantage les clés, les administrateurs, les ponts, l’infrastructure et les opérations d’équipe que les bugs des contrats intelligents.

Des protections de base auraient pu réduire ou arrêter cela : contrôle administratif multisig, timelocks, plafonds de menthe, limites de taux et vérifications des garanties.

Echo a eu de la chance. L’attaquant n’a pas réussi à en drainer davantage parce qu’il n’y avait pas assez de liquidités pour encaisser les faux jetons.

Les joueurs

Voici le détail complet de ce qui s’est passé et comment.

Protocole d'écho

Un projet BTCFi (Bitcoin DeFi). Leur argumentaire : prenez votre $ BTC, obtenez-en une version enveloppée et productive qui fonctionne dans DeFi.

Leur port d’attache est Aptos, où le jeton s’appelle aBTC. Ils ont atteint un pic TVL de 878 millions de dollars sur Aptos en mai 2025, se situant actuellement autour de 254 millions de dollars.

Echo s'est étendu à Monad dans le cadre de la poussée de l'écosystème du réseau principal de Monad. Sur Monad, leur jeton $ BTC enveloppé s'appelle eBTC.

C’est essentiel : aBTC et eBTC sont des actifs complètement distincts et non pontables. Ce sont des déploiements parallèles, non connectés. Le piratage a touché eBTC uniquement sur Monad.

Monade

Un nouvel EVM L1 parallélisé hautes performances. L’une des chaînes les plus en vogue de 2025-26. Tout juste sorti du réseau principal, avec de nombreux protocoles déployés à nouveau.

Echo en fait partie. Monad elle-même n’a en aucun cas été compromise. Le co-fondateur @keoneHD a confirmé que le réseau fonctionnait normalement. Il s’agissait d’un échec au niveau du protocole au-dessus de Monad.

Pour clarifier, le réseau Monad n'est pas affecté et fonctionne normalement. Les chercheurs en sécurité dans leur examen ont déterminé qu'environ 816 000 $ semblent avoir été volés à la suite de cet exploit de l'eBTC de @EchoProtocol_.

– Keone Hon (@keoneHD) 18 mai 2026

Courbure

Un protocole de prêt déployé sur Monad. Fonctionne comme Aave mais avec des marchés isolés, où chaque actif de garantie vit dans son propre pool cloisonné afin qu'un actif compromis ne puisse pas infecter le reste du protocole de prêt.

Ils avaient répertorié l’eBTC comme actif de garantie.

Trésorerie tornade

Mélangeur $ETH sanctionné. Vous envoyez $ETH, vous obtenez $ETH d'un autre portefeuille et brisez la piste en chaîne. Outil de sortie standard pour les pirates.

Alerte d'exploit 🚨Selon @dcfgod, @EchoProtocol_ sur @monad a été exploité. L'attaquant aurait frappé 1 000 $ d'eBTC