MiCA-kompatibel euro-stablecoin falder til 0,85 dollar, efter at et angreb på en af tre multisig-kontrakter har drænet millioner

EURR falder 24 %, og USDR falder 37 %, da StablRs to stablecoins afkobles efter nøgleudnyttelse

Ifølge rapporter skyldtes bruddet ikke en fejl i smartkontrakten. Angriberne fik angiveligt adgang til en enkelt privat nøgle, der kontrollerede en 1-ud-af-3 multisig-tegnebog, der styrede StablRs udstedelsesfunktion. Med én nøgle fjernede angriberen legitime underskrivere, tilføjede en kontrolleret adresse og udstedte tokens uden sikkerhedsstillelse.

Kl. 8:10 ET søndag adresserede StablR problemet på X og udtalte:

"Sikkerhedsopdatering: Vi har identificeret et sikkerhedshul, der påvirker StablR, og arbejder aktivt på at inddæmme det og minimere konsekvenserne. Beskyttelse af vores brugere og jeres midler er vores højeste prioritet. Vi vil dele verificerede detaljer og næste skridt så hurtigt som muligt."

Onchain-analytikere anslog, at angriberen udstedte ca. 8,35 millioner USDR og 4,5 millioner EURR, før han solgte dem på tværs af DEX-handelspar med lav likviditet. Den udvundne værdi blev rapporteret til ca. 1.115 ETH, svarende til ca. 2,8 millioner dollars, selvom den samlede udstedelse af tokens uden sikkerhedsstillelse muligvis nåede op på 10,4 millioner dollars.

Salgspresset brød hurtigt begge pegs. EURR faldt til 0,85 $, et fald på tæt på 24 %. USDR faldt yderligere og handlede til 0,64 $, et fald på næsten 36 % år til dato. USDR nåede et intradag-lavpunkt på 0,40 $. Begge tokens faldt også kraftigt i forhold til den amerikanske dollar, bitcoin og ethereum.

StablR markedsfører EURR som en euro-baseret stablecoin og USDR som en dollar-baseret token, begge positioneret som regulerede instrumenter under EU's ramme for markeder for kryptoaktiver (MiCA) med offentliggørelse af bevis for reserver. Virksomheden bygger bro mellem traditionelle finansmarkeder og decentraliserede finansmarkeder.

Sikkerhedsfirmaet Blockaid gjorde offentligt opmærksom på hændelsen og beskrev 1-ud-af-3-tærsklen som en "vigtig fejl i ledelse og styring." Mange observatører kommenterede, at en enkelt kompromitteret nøgle ikke burde have beføjelse til at udstede valuta, men angiveligt tillod StablRs konfiguration netop det.

"Udstedelsen af EURR blev styret af en 1/3 multisig-implementering (ikke sikker), hvis underskrivere den påståede angriber erstattede," skrev en X-konto søndag. "De fortsatte derefter med at overføre og præge nye EURR for at sælge dem på sekundære markeder, hvilket førte til en afkobling på det sekundære marked. Det er værd at bemærke, at StablR tidligere har udtalt, at de bruger Tethers Hadron-tokeniseringsplatform til at drive udstedelsen af EURR."

Personen tilføjede:

"Hvis dette er et sikkerhedshul, er det det første af sin art for en MiCA-kompatibel stablecoin."

Mens StablR erkendte udnyttelsen via sine officielle X-konti, var der på tidspunktet for skrivningen ingen detaljeret teknisk efteranalyse eller tidsplan for genopretning tilgængelig. Fællesskabsanalytikere på X debatterede i løbet af dagen tabskalkulationer, der varierede fra 2,8 millioner dollars til 10,4 millioner dollars. Den store spredning afspejler forskellen mellem den udvundne ethereum (ETH) og den samlede pålydende værdi af de ikke-dækkede tokens, der blev introduceret på markedet.

Hændelsen passer ind i et mønster, der ses hos udstedere af stablecoins, hvor administrativ kontrol snarere end kontraktkode er svagheden. Højere multisig-tærskler, tidslåse på udstedelsesfunktioner, hastighedsbegrænsninger og systemer til detektering af afvigelser er standardforanstaltninger for stablecoin-netværk.

MiCA-reguleringsrammen, der er designet til at sikre ansvarlighed hos stablecoin-udstedere, der opererer i Europa, ser ikke ud til at have krævet de operationelle kontroller, der ville have forhindret dette angreb. Tilsynsmyndigheder og revisorer kan komme under pres for at adressere nøgleforvaltningsstandarder mere direkte efter denne hændelse.

Indehavere af EURR og USDR bør følge StablRs officielle kanaler for opdateringer om eventuel planlagt destruktion af det ubeskyttede udbud, genopfyldning af reserver eller kompensation. De største stablecoins i amerikanske dollar, herunder USDT og USDC, blev ikke berørt.

Det bredere stablecoin-marked absorberede hændelsen uden væsentlig smitteeffekt, men StablR-hændelsen føjer sig til en voksende liste over mindre og regionalt fokuserede udstedere, der mister kontrol over fastkurspolitikken på grund af svigt i styringen snarere end sårbarheder i koden.