分散型金融(DeFi)プロトコル「Echo Protocol」が5月19日、管理者権限を悪用した攻撃を受け、合成ビットコイン「eBTC」を約1,000枚不正発行される被害に遭った。被害総額は約7,670万ドル(約115億円相当)にのぼると推定されている。
ブロックチェーンセキュリティ企業PeckShieldや分析プラットフォームLookonchainがこの異常を検知。攻撃者は管理者の秘密鍵を掌握し、無制限にトークンを鋳造できる状態にあった。本記事では攻撃の仕組みから資金洗浄の実態、DeFi全体への影響までを詳しくひもとく。
Echoプロトコル、eBTCを1000枚無断発行──7700万ドル規模の被害
Echo Protocolはビットコインの流動性を集約し、リキッドステーキングやレンディングによる利回りを提供するDeFiプラットフォームだ。その中核資産であるeBTCは、ビットコインに価値が連動する合成資産であり、ユーザーはEthereum互換の高性能L1ブロックチェーン「Monad」上でこれをやり取りする。
今回のインシデントでは、攻撃者がこのeBTCを管理者権限を通じて約1,000枚(約7,670万ドル相当)勝手に発行した。PeckShieldは公式Xで、既に鋳造された不正トークンの存在を警告している。
事件発生を受け、Echo Protocolは全クロスチェーン取引を一時停止し、調査を開始した。同プロトコルは「現在Monad上のEchoブリッジに影響するセキュリティインシデントを調査中」と声明を出している。
なお、eBTCの時価は攻撃発生時点で1枚あたり約76,700ドルと推定される。この価格帯は事故当時のビットコイン相場をおおむね反映したものだ。
事件発覚の経緯
PeckShieldやオンチェーンデータを分析するLookonchainは、火曜日(5月19日)になって異常なeBTCの鋳造を検知。コントラクトの挙動そのものは正常で、管理者があたかも正当な操作をしているかのように、無制限にトークンが発行されていた。
攻撃が行われたのはMonadネットワーク上だが、同チェーン自体に脆弱性があったわけではない。Echoのブリッジ管理権限が単独の秘密鍵で運用されていた点が付け込まれた形だ。
管理者秘密鍵の侵害が原因──技術的脆弱性より運用の問題
ブロックチェーン開発者のMarioo氏は、今回の侵入はスマートコントラクトのバグではなく、管理者の秘密鍵が侵害された「オペレーション上の問題」だと指摘している。
同氏の分析によれば、eBTCのコントラクト自体は「設計通り正確に動作した」という。問題は、管理者ロールが単一の署名だけで操作できた点、タイムロック(時間差実行の仕組み)がなかった点、鋳造の上限数量や発行レートの制限がなかった点にある。
さらに、新たに鋳造された担保資産に対してCurvance(DeFiの貸付・流動性管理プラットフォーム)側でも「供給量の健全性チェック」が行われていなかったとされる。
つまり、管理者鍵を握るたった一つの口座が悪用されれば、不正トークンの大量発行から融資の引き出しまでが一気に通ってしまう設計だったことになる。これはスマートコントラクトのコード上の欠陥ではなく、ガバナンスと運用ルールの脆弱性と言える。
攻撃者の資金洗浄、Tornado Cash経由で一部を隠蔽
PeckShieldの追跡によると、攻撃者は不正な資金の一部を急速に現金化しようと動いた。まず45 eBTC(約345万ドル相当)をDeFiの貸付プラットフォームCurvanceに預け入れたうえで、それを担保に11.3 wBTC(ラップドビットコイン、約86万8,000ドル相当)を借り出した。
次に借り入れたwBTCをEthereumネットワークにブリッジし、ETHに交換。最終的に約384 ETH(約82万2,000ドル相当)をプライバシーミキシングサービス「Tornado Cash」に送金した。この時点で、全体の約5%に相当する資金が洗浄された計算になる。
現在も攻撃者のアドレスには955 eBTC(約7,300万ドル相当)が残ったままであり、大半の被害額は依然としてハッカーの管理下にある。DeBankのデータがその残高を示している。
こうした動きに対して、CurvanceはEcho eBTC市場に「異常」を検知したと公表。自社のスマートコントラクトには侵害がなかったことを確認し、該当する市場を一時停止した。
関係プロトコルの対応:Echoがクロスチェーン停止、Monadは影響なし
Echo Protocolは即座に全クロスチェーン取引を停止し、「調査が進行中であり、公式チャンネルを通じて随時情報を更新する」とXでアナウンスした。
一方、Monadの共同創業者Keone Hon氏は、Monadネットワークそのものは影響を受けておらず正常に稼働していると説明した。攻撃はブリッジの管理権限に起因するため、チェーン全体の安全性が揺らいでいるわけではない。
被害額の回収やユーザー補償の見通しについて、現時点でEcho Protocolは明らかにしていない。管理者鍵が侵害されたという事実は、プロトコル自体の信頼性に対する深刻な打撃となる可能性がある。
相次ぐDeFiハッキング、2026年は特に厳しい状況
2026年はDeFiセキュリティにとって記録的な被害が続く年になっている。4月にはDrift Protocolが2億8,500万ドル、Kelp DAOが2億9,200万ドルの大規模ハッキングに遭い、5月に入ってからも少なくとも12のプロトコルが侵害を受けたばかりだ。
直近では、Verus ProtocolのEthereumブリッジが偽のクロスチェーンメッセージを使った攻撃で約1,160万ドルを盗まれ、THORChainも約1,000万ドルの不審な流出を理由に取引を停止した。Transit Financeでは旧式のスマートコントラクトが狙われ、188万ドルの損失が発生している。
Echo Protocolのケースは、技術的なバグではなく、単一障害点となる管理者権限が悪用された点でとりわけ教訓的だ。スマートコントラクトのコード監査だけでは防げない「運用の脆弱性」が、依然としてDeFiの大きなリスクとして存在している。
この記事のポイント
- Echo Protocolの合成ビットコインeBTCが管理者鍵の侵害で約1,000枚(約7,670万ドル)不正発行された
- 原因はスマートコントラクトのバグではなく、単一署名・タイムロックなし・発行上限なしといった運用設計の欠陥
- 攻撃者は一部資金をCurvance経由でTornado Cashに送金し洗浄したが、依然として955 eBTC(約7,300万ドル)を保持
- Echoはクロスチェーン取引を停止し調査中、Monadネットワーク自体は通常稼働
- 2026年はDeFiハッキングが多発しており、技術監査に加えてガバナンス面のセキュリティ強化が急務
暗号資産とブロックチェーンの可能性を追求するエミリー。
暗号資産投資、DeFi、NFT、WEB3、メタバースといった最先端分野を深く理解し、「エミリーズ・クリプト・インサイダー」を運営。
分かりやすい解説で、ブロックチェーン革命の潮流を一般に広めることを目指す。初心者から上級者まで、最新情報を求めるすべての人に役立つ情報発信を心がけている。