Echo Protocol, un protocole BTCFi déployé sur Monad, a été exploité le 19 mai 2026. Un attaquant a émis 1 000 eBTC sans apport réel, soit 76,6 M$ au cours du moment, puis a utilisé ces tokens comme garantie pour siphonner du WBTC via Curvance. C’est le 14e hack crypto documenté en mai 2026, selon les données on-chain compilées par Onchain Lens.

En bref

La faille porte sur l’absence de plafond de frappe : l’attaquant a créé 1 000 eBTC fictifs en une opération, déposé 45 eBTC en garantie sur Curvance, emprunté 11,29 WBTC, puis converti le tout en ETH avant de blanchir via Tornado Cash. Les pertes concrètes en actifs tiers s’élèvent à environ 867 K$ de WBTC exfiltrés.

Comment l’attaquant a-t-il créé 76 M$ d’eBTC du néant ?

La faille repose sur une absence totale de contrôle lors de la frappe d’eBTC sur Monad. Sans contrainte de garantie réelle, l’attaquant a émis 1 000 eBTC en une seule transaction. Ce mécanisme rappelle l’exploit de Beanstalk en 2022, où 180 M$ avaient disparu via une manipulation flash loan : contourner la vérification d’actifs réels au moment critique.

Les données on-chain indiquent que l’attaquant avait testé le chemin d’attaque en amont. Préparation méthodique, pas opportunité improvisée. Trois des quatre hacks BTCFi survenus depuis début 2025 partagent ce même vecteur de frappe non contrainte, selon les compilations on-chain disponibles.

Quel était le schéma de pillage via Curvance ?

Étape Action Montant
1 Frappe d’eBTC ex nihilo 1 000 eBTC (76,6 M$)
2 Dépôt en garantie sur Curvance 45 eBTC (3,45 M$)
3 Emprunt de WBTC 11,29 WBTC (867 K$)
4 Transfert vers Ethereum 11,29 WBTC
5 Conversion en ETH + Tornado Cash 385 ETH (env. 818 K$)

Seule une fraction des eBTC frappés a servi à générer des emprunts réels. L’attaquant détient encore la grande majorité des 1 000 eBTC, sans valeur liquide tant que le marché reste suspendu. Les pertes effectives en actifs tiers restent à 867 K$ de WBTC exfiltrés, loin de la valeur nominale totale.

La vague de hacks sur les bridges en 2022 avait déjà démontré que les risques les plus graves naissent à l’interface entre deux protocoles. Ici, l’interaction Echo Protocol / Curvance a constitué le maillon faible. Même logique, nouveau théâtre.

Quelle a été la réponse des protocoles concernés ?

Curvance a détecté l’anomalie en temps quasi réel et mis le marché eBTC en pause. Réaction rapide. Echo Protocol a coupé l’ensemble des transactions cross-chain le temps d’une investigation interne.

Cet incident porte à 14 le nombre de hacks crypto documentés pour le seul mois de mai 2026. À comparer : l’attaque sur la BNB Chain en 2022 avait forcé une mise en maintenance de l’ensemble du réseau pour stopper un exploit à 100 M$. La réaction de Curvance a été plus rapide, mais la faille de frappe reste entière sur Echo Protocol, dont l’architecture Monad n’a pas encore été auditée publiquement post-exploit.

Et pour la France ?

Echo Protocol et Curvance ne sont pas enregistrés comme PSAN auprès de l’AMF et restent hors des plateformes régulées françaises. Tout investissement hors périmètre réglementaire reste soumis au risque de perte totale sans recours possible.

Questions fréquentes

Qu’est-ce qu’une faille de frappe non plafonnée dans un protocole BTCFi ?

Une faille de frappe non plafonnée permet de créer des tokens synthétiques sans déposer de garantie réelle équivalente. Sur Echo Protocol, l’absence de vérification a permis l’émission de 1 000 eBTC (76,6 M$) en une seule transaction, sans aucun BTC en contrepartie.

Combien de WBTC ont réellement été volés dans ce hack ?

Les pertes concrètes s’élèvent à 11,29 WBTC, soit environ 867 K$ au moment de l’exploit. Ces fonds ont été transférés vers Ethereum, convertis en 385 ETH et envoyés via Tornado Cash. La valeur nominale de 76,6 M$ correspond aux eBTC fictifs frappés, non aux actifs tiers exfiltrés.

Comment se protéger contre ce type d’exploit sur des protocoles DeFi ?

Plusieurs signaux d’alerte existent : absence d’audit public récent, mécanisme de frappe sans oracle de prix, absence de plafond d’émission. Avant d’exposer des fonds sur un protocole BTCFi, vérifier les audits de sécurité disponibles sur les protocoles DeFi et privilégier les plateformes enregistrées PSAN en France.

À retenir

L’exploit Echo Protocol illustre le risque de frappe non contrainte dans les protocoles BTCFi : 1 000 eBTC créés sans garantie, 385 ETH blanchis via Tornado Cash, marché eBTC suspendu. L’enquête déterminera si la faille est patchable. Surveiller les conclusions de l’audit post-exploit et la reprise éventuelle des transactions cross-chain sur Monad.

Sources

Signal Baissier
Impact Majeur
Nous ajouter à vos sources préférées sur Google