माल्टा-स्थित स्टेबलकॉइन जारीकर्ता StablR को रविवार को एक सुरक्षा घटना का सामना करना पड़ा, जब एक हमलावर ने कमजोर मल्टीसिग कॉन्फ़िगरेशन का फायदा उठाकर लाखों बिना समर्थन वाले EURR और USDR टोकन बनाए और उन्हें विकेंद्रीकृत एक्सचेंज (DEX) प्लेटफ़ॉर्म पर डंप कर दिया।
MiCA-अनुपालक यूरो स्टेबलकॉइन, 3-में-1 मल्टीसिग एक्सप्लॉइट से लाखों ड्रेन होने के बाद $0.85 पर डिपेग हो गया।
लेखक
शेयर
मुख्य बातें
- हमलावरों द्वारा बिना समर्थन वाले टोकन बनाने के बाद, 24 मई को StablR का EURR गिरकर $0.85 और USDR गिरकर $0.40 से $0.64 के बीच हो गया।
- रिपोर्टedly, 1-ऑफ-3 मल्टीसिग थ्रेशोल्ड ने हमलावरों को मिंटिंग नियंत्रण हाईजैक करने की अनुमति दी, जिससे लगभग $2.8M का ETH निकाला गया।
- ऑनचेन पर्यवेक्षकों ने StablR के कथित कमजोर मल्टीसिग सेटअप को एक गवर्नेंस जोखिम के रूप में चिह्नित किया, जिसे MiCA विनियमन ने नहीं रोका।
एक प्रमुख एक्सप्लॉइट के बाद StablR के दो स्टेबलकॉइन डिपेग, EURR में 24% और USDR में 37% की गिरावट आई।
रिपोर्टों का कहना है कि यह उल्लंघन स्मार्ट कॉन्ट्रैक्ट की खामी के कारण नहीं हुआ। कथित तौर पर हमलावरों को एक ऐसी सिंगल प्राइवेट की (single private key) तक पहुंच मिल गई, जो StablR के मिंटिंग फंक्शन को नियंत्रित करने वाले 1-ऑफ-3 मल्टीसिग वॉलेट को नियंत्रित करती थी। एक की (key) के साथ, हमलावर ने वैध हस्ताक्षरकर्ताओं को हटा दिया, एक नियंत्रित पता जोड़ा, और बिना कोलेटरल बैकिंग के टोकन जारी किए।
रविवार को सुबह 8:10 बजे ET पर, StablR ने X पर इस मुद्दे को संबोधित करते हुए कहा:
"सुरक्षा अपडेट: हमने StablR को प्रभावित करने वाले एक एक्सप्लॉइट की पहचान की है और हम इसे रोकने और प्रभाव को कम करने के लिए सक्रिय रूप से काम कर रहे हैं। हमारे उपयोगकर्ताओं और आपके फंड की सुरक्षा हमारी सर्वोच्च प्राथमिकता है। हम जल्द से जल्द सत्यापित विवरण और अगले कदम साझा करेंगे।"
ऑनचेन विश्लेषकों ने अनुमान लगाया कि हमलावर ने लगभग 8.35 मिलियन USDR और 4.5 मिलियन EURR को ढाला और फिर उन्हें कम तरलता वाले DEX ट्रेडिंग जोड़ों पर बेच दिया। निकाले गए मूल्य को लगभग 1,115 ETH बताया गया, जो लगभग $2.8 मिलियन के बराबर है, हालांकि कुल बिना-समर्थन वाले टोकन जारीकरण $10.4 मिलियन तक पहुंच गया होगा।
बिक्री के दबाव ने दोनों पेग को जल्दी से तोड़ दिया। EURR गिरकर $0.85 पर आ गया, जो लगभग 24% की गिरावट है। USDR और भी नीचे गिर गया, और $0.64 पर कारोबार कर रहा था, जो साल की शुरुआत से अब तक लगभग 36% की गिरावट है। USDR ने दिन के दौरान $0.40 का निचला स्तर छुआ। दोनों टोकन अमेरिकी डॉलर, बिटकॉइन और एथेरियम के मुकाबले भी तेजी से गिरे।
स्टेबलआर, EURR को एक यूरो-पेग्ड स्टेबलकॉइन और USDR को एक डॉलर-पेग्ड टोकन के रूप में बाजार में प्रस्तुत करता है, दोनों को प्रूफ-ऑफ-रिज़र्व खुलासे के साथ यूरोपीय संघ के मार्केट्स इन क्रिप्टो-एसेट्स (MiCA) फ्रेमवर्क के तहत विनियमित उपकरणों के रूप में स्थित किया गया है। कंपनी पारंपरिक वित्त और विकेंद्रीकृत वित्त बाजारों के बीच सेतु का काम करती है।
सुरक्षा फर्म ब्लोकाइड ने इस घटना को सार्वजनिक रूप से चिह्नित किया, और 3 में से 1 की सीमा को "कुंजी प्रबंधन और शासन की विफलता" बताया। कई पर्यवेक्षकों ने टिप्पणी की कि एक अकेली समझौता की हुई कुंजी में मुद्रा जारी करने की शक्ति नहीं होनी चाहिए, फिर भी कथित तौर पर स्टेबलआर की कॉन्फ़िगरेशन ने ठीक यही अनुमति दी।
रविवार को एक एक्स अकाउंट ने लिखा, "EURR जारीकरण 1/3 मल्टीसिग कार्यान्वयन (सेफ नहीं) द्वारा नियंत्रित था, जिसके हस्ताक्षरकर्ताओं को कथित हमलावर ने बदल दिया था।" "उन्होंने फिर सेकेंडरी मार्केट में बेचने के लिए नए EURR को ट्रांसफर और मिंट करना जारी रखा, जिससे सेकेंडरी मार्केट में डेपग्स हुए। यह ध्यान देने योग्य है कि StablR ने पहले कहा था कि वे EURR जारीकरण को शक्ति देने के लिए टेदर के हैड्रॉन टोकनाइज़ेशन प्लेटफॉर्म का उपयोग करते हैं।"
उस व्यक्ति ने आगे कहा:
"यदि यह एक एक्सप्लॉइट है, तो यह MiCA अनुपालक स्टेबलकॉइन के लिए अपनी तरह का पहला है।"
जबकि StablR ने अपने आधिकारिक X खातों के माध्यम से इस एक्सप्लॉइट को स्वीकार कर लिया, इस लेख के लिखे जाने तक कोई विस्तृत तकनीकी पोस्टमॉर्टम या रिकवरी टाइमलाइन उपलब्ध नहीं थी। X पर समुदाय के विश्लेषकों ने दिन भर $2.8 मिलियन से $10.4 मिलियन तक के नुकसान के अनुमानों पर बहस की। यह बड़ा अंतर निकाले गए एथेरियम (ETH) और बाजार में पेश किए गए बिना समर्थन वाले टोकन के कुल अंकित मूल्य के बीच के अंतर को दर्शाता है।
यह घटना स्टेबलकॉइन जारीकर्ताओं में देखे गए एक पैटर्न से मेल खाती है, जहाँ अनुबंध कोड के बजाय प्रशासनिक नियंत्रण विफलता का बिंदु है। उच्च मल्टीसिग थ्रेशोल्ड, मिंटिंग फ़ंक्शंस पर टाइम-लॉक, रेट लिमिट, और विसंगति का पता लगाने वाली प्रणालियाँ स्टेबलकॉइन नेटवर्क के लिए मानक शमन उपाय हैं।
यूरोप में काम करने वाले स्टेबलकॉइन जारीकर्ताओं के लिए जवाबदेही लाने के लिए डिज़ाइन किया गया MiCA नियामक ढांचे ने उन परिचालन नियंत्रणों को अनिवार्य नहीं किया है जो इस हमले को रोक सकते थे। इस घटना के बाद नियामक और ऑडिटर प्रमुख प्रबंधन मानकों को अधिक सीधे तौर पर संबोधित करने के लिए दबाव का सामना कर सकते हैं।
EURR और USDR के धारकों को बिना समर्थन वाली आपूर्ति के किसी भी नियोजित बर्न, रिजर्व की पूर्ति, या मुआवजे पर अपडेट के लिए StablR के आधिकारिक चैनलों की निगरानी करनी चाहिए। यूएसडीटी और यूएसडीसी सहित प्रमुख अमेरिकी डॉलर स्टेबलकॉइन प्रभावित नहीं हुए।
व्यापक स्टेबलकॉइन बाजार ने इस घटना को बिना किसी बड़े प्रभाव के झेल लिया, लेकिन StablR की यह घटना छोटे और क्षेत्रीय रूप से केंद्रित जारीकर्ताओं द्वारा कोड की कमजोरियों के बजाय शासन विफलताओं के कारण peg नियंत्रण खोने के बढ़ते रिकॉर्ड में एक और जुड़नू है।
लिब्रा ट्रस्ट अर्जेंटीनी कंपनियों को विवादास्पद क्रिप्टो मिलियन का वितरण करने की तैयारी कर रहा है।
जानें कि लाइब्रा ट्रस्ट अर्जेंटीना के विकास और पुनरुद्धार प्रयासों का समर्थन करने के लिए लगभग 110 मिलियन डॉलर के साथ कंपनियों को कैसे वित्त पोषित कर रहा है। read more.
अभी पढ़ें
लिब्रा ट्रस्ट अर्जेंटीनी कंपनियों को विवादास्पद क्रिप्टो मिलियन का वितरण करने की तैयारी कर रहा है।
जानें कि लाइब्रा ट्रस्ट अर्जेंटीना के विकास और पुनरुद्धार प्रयासों का समर्थन करने के लिए लगभग 110 मिलियन डॉलर के साथ कंपनियों को कैसे वित्त पोषित कर रहा है। read more.
अभी पढ़ेंलिब्रा ट्रस्ट अर्जेंटीनी कंपनियों को विवादास्पद क्रिप्टो मिलियन का वितरण करने की तैयारी कर रहा है।
अभी पढ़ेंजानें कि लाइब्रा ट्रस्ट अर्जेंटीना के विकास और पुनरुद्धार प्रयासों का समर्थन करने के लिए लगभग 110 मिलियन डॉलर के साथ कंपनियों को कैसे वित्त पोषित कर रहा है। read more.
