ビットコイン( BTC )をDeFi(分散型金融)で運用するためのプロトコル、エコ(Echo Protocol)が19日にハッキング被害を受けた。攻撃者はチェーン間の資産移動を担う「ブリッジ」の検証の抜け穴を突き、本来は担保が必要なBTC代替トークン「eBTC」を1,000枚不正に生成。
オンチェーン分析家のdcfgodが異常を最初に検知し、セキュリティ企業のペックシールド(PeckShield)が資金追跡を行った。エコは全クロスチェーン取引を即時停止し、調査中であることを公式に発表した。
攻撃者はエコのモナドブリッジの脆弱性を突き、1,000 eBTCを不正に新規発行した。そのうち45 eBTC(約3万4,500ドル相当)をレンディングプロトコルのカーバンス(Curvance)に担保として預け入れ、11.29枚のラップドビットコイン(WBTC)を借り出した。
その後、資産をイーサリアム( ETH )ネットワークにブリッジし、ETHに交換。最終的に384 ETHをプライバシーツールのトルネードキャッシュ(Tornado Cash)に送金し、資金を隠蔽した。
モナドの最高経営責任者キオネ・ホン(Keone Hon)は、今回のセキュリティインシデントがモナドネットワーク自体には一切影響を与えていないと明言。
また、セキュリティ研究者の調査では、エクスプロイトによる被害額は約81万6,000ドル(約1億3,000万円)と推定されている。カーバンスは被害を受けたマーケットを一時停止し、対応にあたっている。
今回の事件は、過去5日間で3件目となる主要なDeFiハッキングだ。5月15日にはトーアチェーン(THORChain)が金庫への攻撃を受け1,000万ドル超が流出、ベルース(Verus)のイーサリアムブリッジも約1,160万ドルの被害を受けた。2026年5月単月だけでも仮想通貨ハッキング件数はすでに14件に上っており、ブリッジを標的とした攻撃が相次いでいる状況だ。
2026年はDeFiセキュリティにとって記録的に厳しい年となっており、4月に6億3,500万ドル規模の被害が報告されたことを受け、業界全体でブリッジ設計の根本的な見直しが求められている。
クロスチェーン資産移転を担うブリッジは、一方のチェーンでトークンをロックし他方でミントする仕組み上、攻撃者にとって高価値な標的となりやすい。今回のエコの事例も、ミント権限の検証不備という構造的なリスクを改めて浮き彫りにした形だ。
