סטייבלקוין אירו תואם MiCA מאבד את העיגון ויורד ל־0.85 דולר לאחר ניצול של מולטיסיג 1‑מ‑3 שמרוקן מיליונים

EURR צונח ב‑24% ו‑USDR נופל ב‑37% כששני הסטייבלקוינים של StablR מאבדים את ההצמדה לאחר ניצול מפתח

דיווחים אומרים שהפריצה לא נבעה מפגם בחוזה חכם. לפי הדיווחים, התוקפים השיגו גישה למפתח פרטי יחיד ששלט בארנק מולטיסיג 1 מתוך 3 שניהל את פונקציית ההטבעה של StablR. עם מפתח אחד, התוקף הסיר חותמים לגיטימיים, הוסיף כתובת שבשליטתו, והנפיק טוקנים ללא גיבוי ביטחונות.

בשעה 8:10 בבוקר (ET) ביום ראשון, StablR התייחסה לבעיה ב‑X, בציינה:

“עדכון אבטחה: זיהינו ניצול שמשפיע על StablR ואנו פועלים באופן פעיל כדי לבלום אותו ולמזער את ההשפעה. הגנה על המשתמשים שלנו ועל הכספים שלכם היא העדיפות העליונה שלנו. נשתף פרטים מאומתים ואת הצעדים הבאים בהקדם האפשרי.”

אנליסטים באונצ’יין העריכו שהתוקף הטביע כ‑8.35 מיליון USDR ו‑4.5 מיליון EURR לפני שמכר אותם לאורך צמדי מסחר ב‑DEX עם נזילות דלה. הערך שנמשך דווח בכ‑1,115 ETH, המקבילים לכ‑$2.8 מיליון, אף שסך הנפקת הטוקנים ללא גיבוי עשוי היה להגיע ל‑$10.4 מיליון.

לחץ המכירה שבר במהירות את שתי ההצמדות. EURR ירד ל‑$0.85, ירידה של כמעט 24%. USDR ירד יותר, ונסחר ב‑$0.64, ירידה של כמעט 36% מתחילת השנה. USDR נגע בשפל יומי של $0.40. שני הטוקנים גם צנחו בחדות מול הדולר האמריקאי, ביטקוין ואתריום.

StablR משווקת את EURR כסטייבלקוין מוצמד ליורו ואת USDR כטוקן מוצמד לדולר, כששניהם ממוקמים ככלים מפוקחים במסגרת Markets in Crypto-Assets של האיחוד האירופי (MiCA), עם גילויי הוכחת עתודות. החברה מגשרת בין פיננסים מסורתיים לשווקי פיננסים מבוזרים.

חברת האבטחה Blockaid סימנה את האירוע בפומבי, ותיארה את סף ה‑1 מתוך 3 כ”כשל בניהול מפתחות ובממשל”. רבים מהמשקיפים העירו שמפתח בודד שנפרץ לא אמור לשאת בכוח להנפיק מטבע, אולם לפי הטענה, תצורת StablR אפשרה בדיוק זאת.

“הנפקת EURR נשלטה על ידי יישום מולטיסיג 1/3 (לא Safe) שהחותמים שלו הוחלפו על ידי התוקף לכאורה,” חשבון אחד ב‑X כתב ביום ראשון. “לאחר מכן הם המשיכו להעביר ולהטביע EURR חדש כדי למכור בשווקים משניים, מה שהוביל לדה‑פג בשוק המשני. ראוי לציין ש‑StablR הצהירה בעבר שהיא משתמשת בפלטפורמת הטוקניזציה Hadron של Tether כדי להפעיל את הנפקת EURR.”

הגורם הוסיף:

“אם זהו ניצול, זהו הראשון מסוגו עבור סטייבלקוין תואם MiCA.”

בעוד ש‑StablR הכירה בניצול באמצעות חשבונות ה‑X הרשמיים שלה, לא הייתה זמינה נכון למועד הכתיבה סקירה טכנית מפורטת לאחר האירוע או לוח זמנים להתאוששות. אנליסטים בקהילה ב‑X התווכחו לאורך היום על הערכות הפסד שנעו בין $2.8 מיליון ל‑$10.4 מיליון. הפער הרחב משקף את ההבדל בין כמות האתריום (ETH) שנמשכה לבין הערך הנקוב הכולל של טוקנים ללא גיבוי שהוכנסו לשוק.

האירוע משתלב בדפוס שנצפה אצל מנפיקי סטייבלקוינים, שבו שליטה אדמיניסטרטיבית ולא קוד החוזה היא נקודת הכשל. ספי מולטיסיג גבוהים יותר, טיים‑לוקים על פונקציות הטבעה, מגבלות קצב ומערכות לזיהוי חריגות הם אמצעי מיתון סטנדרטיים עבור רשתות סטייבלקוין.

מסגרת הרגולציה MiCA, שנועדה להביא אחריותיות למנפיקי סטייבלקוינים הפועלים באירופה, לא נראית כמי שחייבה בקרות תפעוליות שהיו מונעות את המתקפה הזו. רגולטורים ומבקרים עשויים לעמוד תחת לחץ לטפל באופן ישיר יותר בתקני ניהול מפתחות בעקבות אירוע זה.

מחזיקי EURR ו‑USDR צריכים לעקוב אחר הערוצים הרשמיים של StablR לעדכונים לגבי כל שריפה מתוכננת של ההיצע ללא הגיבוי, חידוש עתודות או פיצוי. סטייבלקוינים מרכזיים בדולר אמריקאי, כולל USDT ו‑USDC, לא הושפעו.

שוק הסטייבלקוינים הרחב ספג את האירוע ללא הדבקה משמעותית, אך אירוע StablR מצטרף לרשומה הולכת וגדלה של מנפיקים קטנים וממוקדים אזורית שמאבדים שליטה על ההצמדה עקב כשלים בממשל ולא עקב פגיעויות בקוד.