2026 年 5 月 19 日,一直在 Monad 与 Aptos 双链运营的跨链借贷协议 Echo Protocol,在 Monad 侧的 eBTC 部署上踩到了它的“单点”,管理密钥被攻破,攻击者得以在 Monad 上对 eBTC 进行异常铸造与资产操作。据公开信息与 AiCoin 汇总数据,本次已确认的资产损失约为 81.6 万美元,规模不算爆表,却足以暴露权限设计的薄弱环节。事件发生后不久,Echo 团队重新夺回管理密钥控制权,并将攻击者持有的 955 枚 eBTC 直接销毁,将潜在损失锁死在既有范围内。官方随后多次强调,问题仅限于 Monad 上的 eBTC 部署,Monad 网络本身未受影响,Aptos 侧的借贷市场与 Hyperion 流动性池当前总敞口约 7.1 万美元,也未见资金损失或入侵迹象,这场事故被压缩成一场发生在 Monad 应用层的“局部战”,却清楚提醒所有跨链协议:在多链扩张的架构中,管理密钥依旧是最危险也最容易被忽视的单点风险。
管理密钥被撬开:Monad eBTC 成为突破口
2026 年 5 月 19 日,被撬开的不是某个复杂合约的逻辑漏洞,而是 Echo 在 Monad 侧 eBTC 合约背后那把“万能钥匙”。Echo 官方确认,本次攻击发生在其部署于 Monad 上的 eBTC 合约,攻击者在获取管理密钥后,直接在链上对 eBTC 进行了异常铸造与资产操作。简单说,原本只属于协议方的铸币与调度权限,被不明身份的攻击者接管了一段时间。Echo 在声明中反复强调,“The issue was limited to its eBTC deployment on Monad and that the Monad network itself was not affected.”,试图把风险边界清晰画在应用层。
这一幕把 Echo 在 Monad 部署中的权限设计赤裸呈现出来:单一管理密钥几乎绑定了整个 eBTC 合约的生死,一旦被突破,协议就只剩被动挨打。事件发生后,市场将其视作 Monad 生态内一次具代表性的应用层安全事故,而截至目前,公开信息仍未披露攻击者如何拿到这把钥匙。对 Echo 这样的跨链借贷协议而言,这次被管理密钥撬开的突破口,既是一次集中暴露单点故障的教训,也把未来如何削弱单一密钥权力、重构权限边界的问题,摆到了台面上。
销毁 955 枚 eBTC紧急止血
在异常被识别、重新夺回管理密钥之后,Echo 团队选择用这把钥匙反向“关闸”。他们在链上销毁了攻击者持有的 955 枚 eBTC,官方表态将这一动作直指为阻止对方继续动用已铸造代币、扩大损失的关键步骤。据公开材料与 AiCoin 数据汇总,本次事件最终被确认的资产损失约为 816,000 美元,团队在对外说明时刻意淡化所谓“名义铸造规模”,将叙事焦点压缩在实际损失和资产回收结果上。不过,从发现问题到重新控制密钥的具体时间长度,当前公开信息并未给出答案。
对 Echo 而言,这次“烧毁 955 枚 eBTC”的集中处置,是一次典型的单点权限在危机中的双重面孔:同一把管理密钥,先是被攻击者利用完成异常铸造,随后又被团队夺回并用来快速切断攻击链条。力度统一、决策收拢,让损失被锁定在约 81.6 万美元的有限区间,显示出团队在突发事件中的执行速度与应急能力,但也昭示出协议在关键时刻仍高度依赖中心化控制权这一现实前提,在多链扩张的版图下如何削弱这类单点权力,依旧是摆在所有跨链协议面前的结构性问题。
Aptos 端安然无恙:跨链隔离被实测
当 Monad 侧的 eBTC 部署被攻破时,另一条战线——Aptos 上的 Echo——被立刻拉进聚光灯。官方随即给出补充说明,强调此次事件“is isolated to the Monad deployment”,未在 Aptos 端发现任何被攻破的证据,也未见更广泛的网络级异常。这意味着,在同一套跨链协议框架下,攻击被实质性限制在 Monad 应用部署层,没有沿着权限或逻辑路径溢出到 Aptos 环境。
更具象的数字是,团队披露 Aptos 端当前的借贷市场与 Hyperion 流动性池合计敞口约 7.1 万美元,截至目前未报告资金损失或异常操作。对一个跨链运行的借贷协议而言,这次 Monad 单边“爆点”在链上形成了一次现实压力测试:一侧的管理密钥被攻破,另一侧依然维持正常出入金与账户状态,至少在可观测范围内,Echo 试图通过多链部署实现风险隔离的架构,并没有在第一时间被事实否定,而是以 Aptos 端的安然无恙交出了一份有限但清晰的答卷。
跨链协议下一步:从信任密钥到信任架构
从结果看,Echo 这次在 Monad 上的损失被控制在约 81.6 万美元,与早年动辄数千万美元的事故相比属于“可承受范围”,一方面源于团队在重新夺回管理密钥后迅速销毁攻击者持有的 955 枚 eBTC,另一方面也得益于 Aptos 部署未被波及、整体敞口仅约 7.1 万美元,让风险被锁在单链、单产品内。但从过程看,这起事件仍然把跨链协议对单一管理密钥的依赖赤裸裸暴露出来:无论架构如何隔离,只要核心权限集中在少数密钥手中,就始终存在被单点撕开的可能。Echo 事后刻意强调“问题仅限 Monad eBTC 部署”,试图把叙事收束在应用层,但当前公开信息并未说明其是否已经引入多签、时间锁或更细致的权限分层,这意味着市场真正关注的,将不再是这 81.6 万美元本身,而是它会不会成为其削弱中心化密钥依赖的分水岭。回看 DeFi 过往,多起安全事件曾直接推动项目方从单一管理员走向多签和更去中心化的治理,本次事故之后,观察 Echo 是否发布更详尽的复盘报告、是否重构权限设计,以及用户是否愿意继续在其跨链借贷市场上承担对手方风险,将决定这次 Monad eBTC 被盗究竟只是一次被成功“隔离”的插曲,还是跨链协议整体从信任密钥迈向信任架构的又一个起点。
加入我们的社区,一起来讨论,一起变得更强吧!
官方电报(Telegram)社群:https://t.me/aicoincn
AiCoin中文推特:https://x.com/AiCoinzh
AiCoin链上:https://aicoin.com/hyperliquid
AiCoin专属Hyperliquid福利:https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利:https://www.asterdex.com/zh-CN/referral/9C50e2