تعرضت شركة "ستابل آر" (StablR)، التي تتخذ من مالطا مقراً لها وتصدر العملات المستقرة، لحادث أمني يوم الأحد، بعد أن استغل مهاجم ثغرة في إعدادات التوقيعات المتعددة (multisig) لإنشاء ملايين من عملات "EURR" و"USDR" غير المدعومة، ثم بيعها بكميات كبيرة على منصات التداول اللامركزية (DEX).
عملة مستقرة باليورو متوافقة مع MiCA تنخفض قيمتها إلى 0.85 دولار بعد استنزاف ملايين الدولارات نتيجة استغلال ثغرة أمنية في أحد التوقيعات المتعددة الثلاثة
بقلم
مشاركة
النقاط الرئيسية
- انخفض سعر عملة EURR الصادرة عن StablR إلى 0.85 دولار، وانخفض سعر عملة USDR إلى ما بين 0.40 و0.64 دولار في 24 مايو بعد أن قام المهاجمون بإنشاء عملات غير مدعومة.
- وبحسب ما ورد، سمح عتبة التوقيعات المتعددة 1 من 3 للمهاجمين باختطاف ضوابط الإصدار، مما أدى إلى استنزاف ما يقرب من 2.8 مليون دولار من عملة ETH.
- أشار مراقبو Onchain إلى ضعف إعداد التوقيعات المتعددة المزعوم في StablR باعتباره خطرًا على الحوكمة لم تمنعه لائحة MiCA.
انخفض سعر EURR بنسبة 24٪، وانخفض سعر USDR بنسبة 37٪ بعد انفصال عملتي StablR المستقرتين عن سعر الصرف بعد استغلال ثغرة أمنية رئيسية
تشير التقارير إلى أن الاختراق لم ينجم عن خلل في العقد الذكي. وبحسب ما ورد، تمكن المهاجمون من الوصول إلى مفتاح خاص واحد يتحكم في محفظة متعددة التوقيعات بنسبة 1 من 3 كانت تدير وظيفة إصدار العملات في StablR. وباستخدام مفتاح واحد، قام المهاجم بإزالة الموقّعين الشرعيين، وإضافة عنوان خاضع للسيطرة، وإصدار عملات رقمية دون ضمانات.
في الساعة 8:10 صباحًا بتوقيت شرق الولايات المتحدة يوم الأحد، تناولت StablR المشكلة على X، قائلة:
"تحديث أمني: لقد حددنا ثغرة تؤثر على StablR ونعمل بنشاط لاحتوائها وتقليل تأثيرها. حماية مستخدمينا وأموالكم هي أولويتنا القصوى. سنشارك التفاصيل المؤكدة والخطوات التالية في أقرب وقت ممكن."
قدر محللو Onchain أن المهاجم قام بسك ما يقرب من 8.35 مليون USDR و 4.5 مليون EURR قبل بيعها عبر أزواج تداول DEX ذات السيولة المنخفضة. وبلغت القيمة المستخرجة حوالي 1,115 ETH، أي ما يعادل حوالي 2.8 مليون دولار، على الرغم من أن إجمالي إصدار الرموز غير المدعومة قد يصل إلى 10.4 مليون دولار.
أدى ضغط البيع إلى كسر كلا الربطين بسرعة. انخفض EURR إلى 0.85 دولار، بانخفاض يقارب 24٪. وانخفض USDR أكثر، حيث تم تداوله عند 0.64 دولار، بانخفاض يقارب 36٪ منذ بداية العام. سجل USDR أدنى مستوى خلال اليوم عند 0.40 دولار. كما انخفض كلا التوكنين بشكل حاد مقابل الدولار الأمريكي والبيتكوين والإيثريوم.
تسوق StablR عملة EURR كعملة مستقرة مربوطة باليورو وعملة USDR كعملة مربوطة بالدولار، وكلاهما يُصنفان كأدوات خاضعة للتنظيم بموجب إطار عمل الاتحاد الأوروبي لأسواق الأصول المشفرة (MiCA) مع الإفصاح عن إثبات الاحتياطيات. تربط الشركة بين أسواق التمويل التقليدي والتمويل اللامركزي.
أبلغت شركة الأمن Blockaid عن الحادث علنًا، واصفة عتبة 1 من 3 بأنها "فشل رئيسي في الإدارة والحوكمة". وعلق العديد من المراقبين بأن مفتاحًا واحدًا تم اختراقه لا ينبغي أن يمتلك القدرة على إصدار العملة، لكن يُزعم أن تكوين StablR سمح بذلك بالضبط.
كتب أحد حسابات X يوم الأحد: "كان إصدار EURR يخضع لتنفيذ متعدد التوقيعات بنسبة 1/3 (غير آمن) استبدل المهاجم المزعوم الموقعين عليه". "ثم واصلوا تحويل وصك عملات EURR جديدة لبيعها في الأسواق الثانوية، مما أدى إلى انفصال العملة عن العملة الأساسية في السوق الثانوية. تجدر الإشارة إلى أن StablR قد ذكرت سابقًا أنها تستخدم منصة الترميز Hadron التابعة لـ Tether لتشغيل إصدار EURR."
وأضاف هذا الشخص:
"إذا كان هذا استغلالًا، فهو الأول من نوعه لعملة مستقرة متوافقة مع MiCA."
بينما أقرت StablR بالاستغلال من خلال حساباتها الرسمية على X، لم يتوفر أي تحليل فني تفصيلي أو جدول زمني للتعافي حتى وقت كتابة هذا التقرير. ناقش محللو المجتمع على X تقديرات الخسائر التي تراوحت بين 2.8 مليون دولار و10.4 مليون دولار على مدار اليوم. يعكس هذا التباين الكبير الفرق بين الإيثيريوم (ETH) المستخرج والقيمة الاسمية الإجمالية للرموز غير المدعومة التي تم طرحها في السوق.
يتناسب هذا الحادث مع نمط شائع بين مُصدري العملات المستقرة، حيث يمثل التحكم الإداري، وليس كود العقد، نقطة الفشل. وتعد عتبات التوقيعات المتعددة الأعلى، وأقفال الوقت على وظائف الإصدار، وحدود المعدلات، وأنظمة الكشف عن الحالات الشاذة، من تدابير التخفيف القياسية لشبكات العملات المستقرة.
لا يبدو أن الإطار التنظيمي MiCA، المصمم لفرض المساءلة على مُصدري العملات المستقرة العاملين في أوروبا، قد فرض الضوابط التشغيلية التي كان من شأنها منع هذا الهجوم. قد يواجه المنظمون والمراجعون ضغوطًا لمعالجة معايير الإدارة الرئيسية بشكل أكثر مباشرة في أعقاب هذا الحدث.
يجب على حاملي EURR و USDR مراقبة القنوات الرسمية لـ StablR للحصول على تحديثات بشأن أي حرق مخطط له للعرض غير المدعوم، أو تجديد الاحتياطي، أو التعويض. لم تتأثر العملات المستقرة الرئيسية بالدولار الأمريكي، بما في ذلك USDT و USDC.
استوعب سوق العملات المستقرة الأوسع نطاقًا هذا الحدث دون انتشار كبير، لكن حادثة StablR تضاف إلى سجل متزايد من المصدرين الأصغر حجمًا والمركزين إقليميًا الذين يفقدون السيطرة على الربط بسبب إخفاقات في الحوكمة بدلاً من ثغرات في الكود.
