Maltal asuv stabiilse valuuta väljastaja StablR sattus pühapäeval turvalisusjuhtumi ohvriks, kui ründaja kasutas ära nõrka multisig-konfiguratsiooni, et vermida miljoneid tagatiseta EURR- ja USDR-tokeneid ning müüa need detsentraliseeritud börsiplatvormidel (DEX) maha.
MiCA-nõuetele vastav euro-stabiilne krüptovaluuta langes 0,85 dollarini pärast seda, kui ühe kolmest mitme allkirjaga kontolt varastati miljoneid
KIRJUTAS
JAGA
Peamised järeldused
- StablR-i EURR langes 0,85 dollarini ja USDR langes 24. mail 0,40–0,64 dollarini pärast seda, kui ründajad lõid tagatiseta tokeneid.
- Teatavasti võimaldas 1-of-3 multisig-lävi ründajatel kaaperdada vermimiskontrolli, tühjendades umbes 2,8 miljonit dollarit ETH-s.
- Onchaini vaatlejad tõid esile StablRi väidetavalt nõrga multisig-seadistuse kui juhtimisriski, mida MiCA-määrus ei suutnud ära hoida.
EURR langes 24% ja USDR 37%, kui StablR-i kaks stabiilset münti kaotasid seose pärast olulist turvaauku
Aruannete kohaselt ei tulenenud rikkumine nutilepingu veast. Ründajad said väidetavalt juurdepääsu ühele privaatsele võtmele, mis kontrollis 1-of-3 multisig-rahakotti, mis juhtis StablR-i vermimisfunktsiooni. Ühe võtmega eemaldas ründaja seaduslikud allkirjastajad, lisas kontrollitud aadressi ja emiteeris tagatiseta tokeneid.
Pühapäeval kell 8:10 ET käsitles StablR seda küsimust X-is, märkides:
„Turbeuudis: Oleme tuvastanud StablR-i mõjutava turvaaugu ja töötame aktiivselt selle piiramise ja mõju minimeerimise nimel. Meie kasutajate ja teie rahaliste vahendite kaitsmine on meie esmatähtis prioriteet. Jagame kinnitatud üksikasju ja järgmisi samme niipea kui võimalik.“
Onchaini analüütikud hindasid, et ründaja lõi ligikaudu 8,35 miljonit USDR-i ja 4,5 miljonit EURR-i, enne kui müüs need DEX-i kauplemispaarides, kus likviidsus oli madal. Väljavõetud väärtuseks teatati ligikaudu 1115 ETH, mis vastab umbes 2,8 miljonile dollarile, kuigi tagatiseta tokenite koguväljalaske maht võis ulatuda 10,4 miljoni dollarini.
Müügisurve murdis mõlemad seosed kiiresti. EURR langes 0,85 dollarini, langedes ligi 24%. USDR langes veelgi, kauplemisega 0,64 dollaril, mis on ligi 36% langus aasta algusest. USDR saavutas päevasisese madalaima taseme 0,40 dollarit. Mõlemad tokenid langesid järsult ka USA dollari, bitcoini ja ethereumi suhtes.
StablR turustab EURR-i euroga seotud stabiilse müntina ja USDR-i dollariga seotud tokenina, mõlemad on positsioneeritud reguleeritud instrumentidena Euroopa Liidu krüptovara turgude (MiCA) raamistiku alusel koos reservide tõendamise avalikustamisega. Ettevõte ühendab traditsioonilisi finants- ja detsentraliseeritud finantsturge.
Turvafirma Blockaid tõi juhtumi avalikult esile, kirjeldades 1-3-künnist kui „võtmehalduse ja juhtimise ebaõnnestumist”. Paljud vaatlejad märkisid, et ühel kompromiteeritud võtmel ei tohiks olla volitusi valuuta emiteerimiseks, kuid väidetavalt võimaldas StablR-i konfiguratsioon just seda.
„EURR-i emiteerimist kontrollis 1/3 multisig-rakendus (mitte Safe), mille allkirjastajad väidetav ründaja asendas,” kirjutas üks X-konto pühapäeval. „Seejärel jätkasid nad uute EURR-ide ülekandmist ja vermimist, et neid järelturgudel müüa, mis viis järelturu devalveerumiseni. Väärib märkimist, et StablR on varem teatanud, et nad kasutavad EURR-i emiteerimiseks Tetheri Hadron-tokeniseerimisplatvormi.”
Isik lisas:
„Kui tegemist on turvaaugu ärakasutamisega, on see esimene omataoline MiCA-nõuetele vastava stabiilse mündi puhul.”
Kuigi StablR tunnistas turvaaugu oma ametlike X-kontode kaudu, ei olnud artikli kirjutamise ajal saadaval üksikasjalikku tehnilist analüüsi ega taastamise ajakava. X-i kogukonna analüütikud arutasid päeva jooksul kahjuhinnanguid vahemikus 2,8 miljonit kuni 10,4 miljonit dollarit. Suur erinevus peegeldab erinevust väljavõetud ethereumi (ETH) ja turule toodud tagatiseta tokenite kogunimiväärtuse vahel.
Juhtum sobib stabiilse valuuta väljastajate seas levinud mustriga, kus rikke põhjuseks on pigem halduskontroll kui lepingukood. Kõrgemad mitme allkirja künnised, ajapiirangud vermimisfunktsioonidele, kiiruspiirangud ja kõrvalekallete tuvastamise süsteemid on stabiilse valuuta võrkude standardseid leevendusmeetmeid.
MiCA regulatiivne raamistik, mis on loodud Euroopas tegutsevate stabiilse valuuta väljastajate vastutuse tagamiseks, ei näi nõudvat selliseid operatiivseid kontrollimeetmeid, mis oleksid seda rünnakut ära hoidnud. Reguleerivad asutused ja audiitorid võivad pärast seda sündmust sattuda surve alla tegeleda võtmehaldusstandarditega otsesemalt.
EURR-i ja USDR-i omanikud peaksid jälgima StablR-i ametlikke kanaleid, et saada teavet tagatiseta varude kavandatava hävitamise, reservide täiendamise või hüvitamise kohta. Suuremad USA dollari stabiilse väärtusega krüptovaluutad, sealhulgas USDT ja USDC, ei olnud mõjutatud.
Laiem stabiilse väärtusega krüptovaluuta turg talus sündmust ilma olulise levikuta, kuid StablR-i juhtum lisandub kasvavale nimekirjale väiksematest ja piirkondlikult keskendunud emitentidest, kes kaotavad seotuse kontrolli pigem juhtimise ebaõnnestumiste kui koodi haavatavuste tõttu.
