Maltalla toimiva stablecoin-liikkeeseenlaskija StablR joutui sunnuntaina tietoturvaloukkauksen kohteeksi, kun hyökkääjä hyödynsi monen allekirjoituksen (multisig) konfiguraation heikkoutta luodakseen miljoonia vakuudettomia EURR- ja USDR-tokenia ja myydäkseen ne hajautetuilla pörssialustoilla (DEX).
MiCA-vaatimusten mukainen euro-vakaavaluutta romahti 0,85 dollariin, kun yksi kolmesta monen allekirjoituksen salausavaimesta hyödynnettiin ja miljoonia varastettiin
KIRJOITTAJA
JAA
Tärkeimmät kohdat
- StablR:n EURR laski 0,85 dollariin ja USDR laski 0,40–0,64 dollariin 24. toukokuuta sen jälkeen, kun hyökkääjät olivat lyöneet katteettomia tokeneita.
- Raporttien mukaan 1-of-3-monen allekirjoituksen kynnysarvo antoi hyökkääjille mahdollisuuden kaapata liikkeeseenlaskun hallinta ja tyhjentää noin 2,8 miljoonaa dollaria ETH:ta.
- Onchain-tarkkailijat merkitsivät StablR:n väitetyn heikon monen allekirjoituksen asetuksen hallintoriskiksi, jota MiCA-sääntely ei estänyt.
EURR laskee 24 % ja USDR 37 %, kun StablR:n kaksi stablecoiniä irtoaa kiinnityksestään merkittävän hyökkäyksen jälkeen
Raporttien mukaan tietomurto ei johtunut älykkään sopimuksen virheestä. Hyökkääjät saivat tiettävästi pääsyn yhteen yksityiseen avaimeen, joka hallitsi 1-of-3-monen allekirjoituksen lompakkoa, joka hallitsi StablR:n luontitoimintoa. Yhdellä avaimella hyökkääjä poisti lailliset allekirjoittajat, lisäsi hallitsemansa osoitteen ja laski liikkeeseen tokeneita ilman vakuuksia.
Sunnuntaina kello 8.10 (ET) StablR otti kantaa asiaan X:ssä ja totesi:
"Turvallisuuspäivitys: Olemme tunnistaneet StablR:ää koskevan haavoittuvuuden ja työskentelemme aktiivisesti sen hillitsemiseksi ja vaikutusten minimoimiseksi. Käyttäjiemme ja varojenne suojeleminen on ensisijainen prioriteettimme. Jaamme vahvistetut tiedot ja seuraavat vaiheet mahdollisimman pian."
Onchain-analyytikot arvioivat, että hyökkääjä loi noin 8,35 miljoonaa USDR:ää ja 4,5 miljoonaa EURR:ää ennen kuin myi ne DEX-kaupankäyntipareissa, joiden likviditeetti oli heikko. Hyökkääjän saama arvo oli raporttien mukaan noin 1 115 ETH:ta, mikä vastaa noin 2,8 miljoonaa dollaria, vaikka vakuudettomien tokenien kokonaisliikkeeseenlasku saattoi nousta jopa 10,4 miljoonaan dollariin.
Myyntipaine rikkoi molemmat kiinnitykset nopeasti. EURR laski 0,85 dollariin, laskua lähes 24 %. USDR laski edelleen ja kävi kauppaa 0,64 dollarissa, laskua lähes 36 % vuoden alusta. USDR saavutti päivänsisäisen alimman tason 0,40 dollarissa. Molemmat tokenit laskivat myös jyrkästi suhteessa Yhdysvaltain dollariin, bitcoiniin ja ethereumiin.
StablR markkinoi EURR:ää euroon sidottuna stablecoinina ja USDR:ää dollariin sidottuna tokenina, jotka molemmat on luokiteltu säännellyiksi instrumenteiksi Euroopan unionin kryptovaroja koskevan MiCA-sääntelyn puitteissa ja joihin liittyy varantotodistusten julkistamisvelvollisuus. Yritys yhdistää perinteiset rahoitusmarkkinat ja hajautetun rahoituksen markkinat.
Turvallisuusyritys Blockaid ilmoitti tapauksesta julkisesti ja kuvaili 1/3-kynnystä ”keskeiseksi hallinta- ja hallintovirheeksi”. Monet tarkkailijat kommentoivat, että yhdellä vaarantuneella avaimella ei pitäisi olla valtaa laskea liikkeeseen valuuttaa, mutta StablR:n kokoonpano mahdollisti väitetysti juuri tämän.
”EURR:n liikkeeseenlaskua hallittiin 1/3-monen allekirjoituksen järjestelmällä (ei Safe), jonka allekirjoittajat väitetty hyökkääjä korvasi”, eräs X-tili kirjoitti sunnuntaina. ”Sitten he jatkoivat uusien EURR:ien siirtämistä ja lyömistä myydäkseen niitä jälkimarkkinoilla, mikä johti jälkimarkkinoiden irrottumiseen. On syytä huomata, että StablR on aiemmin ilmoittanut käyttävänsä Tetherin Hadron-tokenisointialustaa EURR:n liikkeeseenlaskun tukena.”
Henkilö lisäsi:
”Jos kyseessä on hyökkäys, se on ensimmäinen laatuaan MiCA-vaatimusten mukaiselle stablecoinille.”
Vaikka StablR myönsi hyökkäyksen virallisilla X-tileillään, kirjoitushetkellä ei ollut saatavilla yksityiskohtaista teknistä jälkianalyysiä tai palautumisaikataulua. X:n yhteisön analyytikot keskustelivat päivän aikana tappioarvioista, jotka vaihtelivat 2,8 miljoonasta 10,4 miljoonaan dollariin. Suuri vaihtelu heijastaa erotusta louhitun ethereumin (ETH) ja markkinoille tuotujen vakuudettomien tokenien kokonaisnimellisarvon välillä.
Tapaus sopii kaavaan, jota on nähty useiden stablecoin-liikkeeseenlaskijoiden kohdalla ja jossa hallinnollinen valvonta, ei sopimuskoodi, on epäonnistumisen syy. Korkeammat monen allekirjoituksen kynnysarvot, aikarajoitukset liikkeeseenlaskutoiminnoille, nopeusrajoitukset ja poikkeavuuksien havaitsemisjärjestelmät ovat vakiintuneita suojakeinoja stablecoin-verkostoissa.
MiCA-sääntelykehys, joka on suunniteltu lisäämään Euroopassa toimivien stablecoin-liikkeeseenlaskijoiden vastuullisuutta, ei näytä vaatineen sellaisia operatiivisia valvontatoimia, jotka olisivat estäneet tämän hyökkäyksen. Sääntelyviranomaiset ja tilintarkastajat saattavat joutua paineen alle käsitellä avainhallintastandardeja suoremmin tämän tapahtuman jälkeen.
EURR- ja USDR-haltijoiden tulisi seurata StablR:n virallisia kanavia saadakseen päivityksiä suunnitellusta vakuudettoman tarjonnan polttamisesta, varannon täydentämisestä tai korvauksista. Tapahtuma ei vaikuttanut suuriin Yhdysvaltain dollarin stablecoineihin, kuten USDT:hen ja USDC:hen.
Laajempi stablecoin-markkina selvisi tapahtumasta ilman merkittävää leviämistä, mutta StablR:n tapaus lisää kasvavaa luetteloa pienemmistä ja alueellisesti keskittyneistä liikkeeseenlaskijoista, jotka menettävät kiinnityksen hallinnan hallintotapojen puutteiden eikä koodin haavoittuvuuksien vuoksi.
