Izdavatelj stablecoina StablR sa sjedištem na Malti pretrpio je sigurnosni incident u nedjelju, nakon što je napadač iskoristio slabu multisig konfiguraciju kako bi mintao milijune nepodržanih EURR i USDR tokena te ih rasprodao na platformama decentraliziranih burzi (DEX).
Euro stabilni coin usklađen s MiCA-om gubi vezanost i pada na 0,85 USD nakon exploita 1-od-3 multisiga koji je ispraznio milijune
NAPISAO
PODIJELI
Ključne poruke
- StablR-ov EURR pao je na 0,85 USD, a USDR je 24. svibnja pao u raspon između 0,40 i 0,64 USD nakon što su napadači mintali nepodržane tokene.
- Prag multisiga 1-od-3 navodno je omogućio napadačima preuzimanje kontrola nad mintanjem, uz izvlačenje otprilike 2,8 mil. USD u ETH-u.
- Onchain promatrači označili su navodno slabu StablR-ovu multisig postavu kao upravljački rizik koji MiCA regulativa nije spriječila.
EURR pada 24%, a USDR 37% dok se StablR-ova dva stablecoina odvajaju od pega nakon ključnog exploita
Izvješća navode da proboj nije proizašao iz propusta pametnog ugovora. Napadači su navodno dobili pristup jednom privatnom ključu koji je kontrolirao multisig novčanik 1-od-3 koji je upravljao StablR-ovom funkcijom mintanja. S jednim ključem napadač je uklonio legitimne potpisnike, dodao adresu pod svojom kontrolom i izdao tokene bez kolateralne podloge.
U 8:10 po ET-u u nedjelju, StablR se osvrnuo na problem na X-u, navodeći:
“Sigurnosno ažuriranje: Identificirali smo exploit koji utječe na StablR i aktivno radimo na njegovom suzbijanju i minimiziranju utjecaja. Zaštita naših korisnika i vaših sredstava naš je najveći prioritet. Podijelit ćemo provjerene detalje i sljedeće korake čim prije bude moguće.”
Onchain analitičari procijenili su da je napadač mintao približno 8,35 milijuna USDR-a i 4,5 milijuna EURR-a prije nego što ih je prodao kroz DEX trgovačke parove s tankom likvidnošću. Izvučena vrijednost prijavljena je na oko 1.115 ETH-a, što je ekvivalentno približno 2,8 milijuna USD, iako je ukupno izdavanje nepodržanih tokena možda doseglo 10,4 milijuna USD.
Prodajni pritisak brzo je slomio oba pega. EURR je pao na 0,85 USD, što je pad od gotovo 24%. USDR je pao još više, trgujući na 0,64 USD, što je pad od gotovo 36% od početka godine. USDR je dosegnuo intradnevni minimum od 0,40 USD. Oba tokena također su naglo pala u odnosu na američki dolar, bitcoin i ethereum.
StablR plasira EURR kao stablecoin vezan uz euro, a USDR kao token vezan uz dolar, pri čemu su oba pozicionirana kao regulirani instrumenti u okviru okvira Europske unije Markets in Crypto-Assets (MiCA) uz objave dokaza o rezervama. Tvrtka povezuje tržišta tradicionalnih financija i decentraliziranih financija.
Sigurnosna tvrtka Blockaid javno je označila incident, opisujući prag 1-od-3 kao „neuspjeh upravljanja ključevima i upravljanja (governance)”. Mnogi promatrači komentirali su da jedan kompromitirani ključ ne bi smio imati moć izdavanja valute, no navodno je StablR-ova konfiguracija omogućila upravo to.
„Izdavanje EURR-a kontrolirala je multisig implementacija 1/3 (nije Safe) čije je potpisnike navodni napadač zamijenio”, jedan X račun napisao je u nedjelju. „Zatim su nastavili prebacivati i mintati novi EURR kako bi ga prodali na sekundarnim tržištima, što je dovelo do depegiranja na sekundarnom tržištu. Vrijedi napomenuti da je StablR ranije naveo da koristi Tetherovu platformu za tokenizaciju Hadron za pogon izdavanja EURR-a.”
Pojedinac je dodao:
“Ako je ovo exploit, to je prvi takve vrste za stablecoin usklađen s MiCA-om.”
Iako je StablR priznao exploit putem svojih službenih X računa, u trenutku pisanja nije bilo dostupno detaljno tehničko izvješće nakon incidenta niti vremenski okvir oporavka. Analitičari zajednice na X-u raspravljali su o procjenama gubitaka u rasponu od 2,8 milijuna do 10,4 milijuna USD tijekom dana. Velika varijacija odražava razliku između izvučenog ethereuma (ETH) i ukupne nominalne vrijednosti nepodržanih tokena uvedenih na tržište.
Incident se uklapa u obrazac viđen kod izdavatelja stablecoina, gdje je administrativna kontrola, a ne kod ugovora, točka kvara. Viši multisig pragovi, time-lockovi na funkcijama mintanja, ograničenja stope (rate limits) i sustavi za detekciju anomalija standardne su mitigacije za stablecoin mreže.
MiCA regulatorni okvir, osmišljen kako bi donio odgovornost izdavateljima stablecoina koji posluju u Europi, čini se da nije zahtijevao operativne kontrole koje bi spriječile ovaj napad. Regulatori i revizori mogli bi se naći pod pritiskom da izravnije adresiraju standarde upravljanja ključevima nakon ovog događaja.
Imatelji EURR-a i USDR-a trebali bi pratiti StablR-ove službene kanale radi ažuriranja o bilo kakvom planiranom burnu nepodržane ponude, obnovi rezervi ili kompenzaciji. Glavni stablecoini vezani uz američki dolar, uključujući USDT i USDC, nisu bili pogođeni.
Šire tržište stablecoina apsorbiralo je događaj bez značajne zaraze, no StablR incident pridodaje rastućem nizu slučajeva u kojima manji i regionalno fokusirani izdavatelji gube kontrolu nad pegom zbog upravljačkih propusta, a ne ranjivosti koda.
