Vydavatel stablecoinů StablR se sídlem na Maltě se v neděli stal obětí bezpečnostního incidentu, kdy útočník zneužil slabé nastavení multisig k vytvoření milionů nekrytých tokenů EURR a USDR a jejich následnému vyhození na platformách decentralizovaných burz (DEX).
Eurový stablecoin splňující požadavky směrnice MiCA se propadl na 0,85 USD poté, co zneužití jedné ze tří multisigových podpisových skupin vedlo k odcizení milionů
NAPSAL
SDÍLET
Hlavní body
- Cena EURR společnosti StablR klesla na 0,85 USD a cena USDR se 24. května pohybovala mezi 0,40 a 0,64 USD poté, co útočníci vyrazili nekryté tokeny.
- Prahová hodnota multisig 1 z 3 údajně umožnila útočníkům převzít kontrolu nad ražbou a odčerpat zhruba 2,8 milionu dolarů v ETH.
- Pozorovatelé on-chain označili údajně slabé nastavení multisig StablR za riziko pro správu, kterému regulace MiCA nezabránila.
EURR klesl o 24 % a USDR o 37 %, když se dvě stablecoiny StablR odpojily od kurzu po klíčovém zneužití
Zprávy uvádějí, že k narušení nedošlo v důsledku chyby ve smart kontraktu. Útočníci údajně získali přístup k jedinému soukromému klíči ovládajícímu peněženku s prahovou hodnotou 1 z 3, která řídila funkci ražby StablR. S jedním klíčem útočník odstranil legitimní signatáře, přidal kontrolovanou adresu a vydal tokeny bez kolaterálního krytí.
V neděli v 8:10 ráno východního času se StablR k problému vyjádřil na X a uvedl:
„Bezpečnostní aktualizace: Identifikovali jsme zranitelnost ovlivňující StablR a aktivně pracujeme na jejím omezení a minimalizaci dopadů. Ochrana našich uživatelů a vašich finančních prostředků je naší nejvyšší prioritou. Ověřené podrobnosti a další kroky sdělíme co nejdříve.“
Analytici Onchain odhadli, že útočník vyrazil přibližně 8,35 milionu USDR a 4,5 milionu EURR, než je prodal v obchodních párech DEX s nízkou likviditou. Hodnota získaných prostředků byla odhadnuta na zhruba 1 115 ETH, což odpovídá přibližně 2,8 milionu dolarů, ačkoli celková emise tokenů bez krytí mohla dosáhnout 10,4 milionu dolarů.
Prodejní tlak rychle prolomil oba pevné kurzy. EURR klesl na 0,85 USD, což představuje pokles o téměř 24 %. USDR klesl ještě více a obchodoval se za 0,64 USD, což představuje pokles o téměř 36 % od začátku roku. USDR dosáhl denního minima 0,40 USD. Oba tokeny také prudce klesly vůči americkému dolaru, bitcoinu a ethereu.
StablR uvádí EURR na trh jako stablecoin vázaný na euro a USDR jako token vázaný na dolar, přičemž oba jsou positionovány jako regulované nástroje v rámci rámce Evropské unie pro trhy s kryptoaktivy (MiCA) s povinností zveřejňovat důkazy o rezervách. Společnost propojuje tradiční finanční trhy a trhy decentralizovaného financování.
Bezpečnostní firma Blockaid na incident veřejně upozornila a popsala prahovou hodnotu 1 z 3 jako „klíčové selhání správy a řízení“. Mnoho pozorovatelů poznamenalo, že jediný kompromitovaný klíč by neměl mít pravomoc vydávat měnu, ale konfigurace StablR to údajně přesně umožňovala.
„Emise EURR byla řízena implementací multisig 1/3 (ne Safe), jejíž signatáře údajný útočník nahradil,“ napsal v neděli jeden účet na X. „Poté pokračovali v převodech a ražbě nových EURR za účelem prodeje na sekundárních trzích, což vedlo k odpojení od sekundárního trhu. Stojí za zmínku, že společnost StablR dříve uvedla, že k emisi EURR používá tokenizační platformu Hadron společnosti Tether.“
Tato osoba dodala:
„Pokud se jedná o exploit, je to první svého druhu u stablecoinu kompatibilního s MiCA.“
Zatímco StablR tento exploit potvrdil prostřednictvím svých oficiálních účtů na X, v době psaní tohoto článku nebyla k dispozici žádná podrobná technická analýza ani časový plán obnovy. Analytici komunity na X po celý den diskutovali o odhadech ztrát v rozmezí od 2,8 milionu do 10,4 milionu dolarů. Tato široká rozptyl odráží rozdíl mezi vytěženým ethereem (ETH) a celkovou nominální hodnotou nekrytých tokenů uvedených na trh.
Incident zapadá do vzorce pozorovaného u emitentů stablecoinů, kde je bodem selhání spíše administrativní kontrola než kód smlouvy. Vyšší prahy multisig, časové zámky na funkce ražby, omezení rychlosti a systémy detekce anomálií jsou standardními opatřeními pro sítě stablecoinů.
Regulační rámec MiCA, navržený s cílem zavést odpovědnost emitentů stablecoinů působících v Evropě, zřejmě nevyžadoval provozní kontroly, které by tomuto útoku zabránily. Regulační orgány a auditoři mohou po této události čelit tlaku, aby se více zaměřili na klíčové standardy řízení.
Držitelé EURR a USDR by měli sledovat oficiální kanály StablR, kde budou zveřejňovány aktualizace ohledně plánovaného spálení nezajištěné nabídky, doplnění rezerv nebo kompenzace. Hlavní stablecoiny v amerických dolarech, včetně USDT a USDC, nebyly touto událostí zasaženy.
Širší trh se stablecoiny tuto událost absorboval bez významného šíření, ale incident společnosti StablR přispívá k rostoucímu počtu případů, kdy menší a regionálně zaměření emitenti ztrácejí kontrolu nad vazbou na měnu spíše kvůli selhání správy než kvůli zranitelnosti kódu.
