A máltai székhelyű stabilcoin-kibocsátó StablR vasárnap biztonsági incidens áldozatává vált, miután egy támadó kihasználta a multisig-konfiguráció gyenge pontjait, és több millió fedezet nélküli EURR- és USDR-tokent bocsátott ki, majd eladta azokat decentralizált tőzsdei (DEX) platformokon.
A MiCA-előírásoknak megfelelő euróalapú stabilcoin 0,85 dollárra zuhant, miután a három multiszignatúra-aláírás közül az egyiket kihasználva több millió dollárt sikkasztottak el
ÍRTA
MEGOSZTÁS
Főbb tanulságok
- A StablR EURR-je 0,85 dollárra, az USDR pedig 0,40 és 0,64 dollár közé esett május 24-én, miután a támadók fedezet nélküli tokeneket bocsátottak ki.
- A jelentések szerint egy 1-ből-3-as multisig küszöbérték lehetővé tette a támadók számára, hogy átvegyék az irányítást a kibocsátás felett, és körülbelül 2,8 millió dollár értékű ETH-t szerezzenek meg.
- Az onchain megfigyelők a StablR állítólagosan gyenge multisig beállítását olyan kormányzási kockázatként jelölték meg, amelyet a MiCA szabályozás nem tudott megakadályozni.
Az EURR 24%-kal, az USDR pedig 37%-kal esett vissza, miután a StablR két stabilcoinja egy kulcsfontosságú biztonsági rés miatt elvesztette árfolyam-stabilitását
A jelentések szerint a biztonsági rés nem egy intelligens szerződés hibájából származott. A támadók állítólag hozzáférést szereztek egy olyan 1-ből-3-as multisig pénztárcához, amely a StablR kibocsátási funkcióját irányította. Egy kulccsal a támadó eltávolította a jogos aláírókat, hozzáadott egy ellenőrzött címet, és fedezet nélküli tokeneket bocsátott ki.
Vasárnap reggel 8:10-kor (keleti idő szerint) a StablR az X-en reagált a problémára, kijelentve:
„Biztonsági frissítés: Azonosítottunk egy, a StablR-t érintő biztonsági rést, és aktívan dolgozunk annak megfékezésén és a hatások minimalizálásán. Felhasználóink és pénzeszközeik védelme a legfőbb prioritásunk. A lehető leghamarabb közzétesszük a hitelesített részleteket és a következő lépéseket.”
Az Onchain elemzői becslése szerint a támadó körülbelül 8,35 millió USDR-t és 4,5 millió EURR-t vert, mielőtt eladta volna őket alacsony likviditású DEX kereskedési párokon. A kinyert érték körülbelül 1115 ETH volt, ami körülbelül 2,8 millió dollárnak felel meg, bár a fedezet nélküli tokenek teljes kibocsátása elérhette a 10,4 millió dollárt.
Az eladási nyomás gyorsan megtörte mindkét árfolyam-rögzítést. Az EURR 0,85 dollárra esett vissza, ami közel 24%-os csökkenést jelent. Az USDR tovább esett, 0,64 dolláron kereskedtek vele, ami közel 36%-os csökkenést jelent az év eleje óta. Az USDR napközbeni mélypontja 0,40 dollár volt. Mindkét token az amerikai dollár, a bitcoin és az ethereum ellen is meredeken esett.
A StablR az EURR-t euróhoz kötött stabilcoin-ként, az USDR-t pedig dollárhoz kötött tokenként forgalmazza, mindkettőt az Európai Unió kriptopénz-piacokra vonatkozó (MiCA) keretrendszerének szabályozott eszközeiként pozícionálva, tartalékokról szóló közzétételi kötelezettséggel. A vállalat hidat képez a hagyományos pénzügyi és a decentralizált pénzügyi piacok között.
A Blockaid biztonsági cég nyilvánosan jelezte az esetet, és a háromból egy küszöböt „kulcskezelési és irányítási kudarcnak” nevezte. Sok megfigyelő megjegyezte, hogy egyetlen kompromittált kulcsnak nem szabadna hatalmat adnia a pénzkibocsátásra, de állítólag a StablR konfigurációja pontosan ezt tette lehetővé.
„Az EURR kibocsátását egy 1/3-as multisig-megvalósítás (nem biztonságos) irányította, amelynek aláíróit az állítólagos támadó kicserélte” – írta vasárnap egy X-fiók. „Ezt követően folytatták az új EURR átutalását és kibocsátását, hogy azokat másodlagos piacokon értékesítsék, ami a másodlagos piacok leértékelődéséhez vezetett. Érdemes megjegyezni, hogy a StablR korábban kijelentette, hogy a Tether Hadron tokenizációs platformját használja az EURR kibocsátásához.”
A személy hozzátette:
„Ha ez egy biztonsági rés kihasználása, akkor ez az első ilyen eset egy MiCA-kompatibilis stabilcoin esetében.”
Bár a StablR hivatalos X-fiókjain keresztül elismerte a biztonsági rést, a cikk írásának időpontjában még nem állt rendelkezésre részletes technikai elemzés vagy helyreállítási ütemterv. Az X közösség elemzői a nap folyamán 2,8 millió és 10,4 millió dollár közötti veszteségbecslésekről vitáztak. A nagy eltérés az elvonott ethereum (ETH) és a piacra bevezetett fedezetlen tokenek teljes névértéke közötti különbséget tükrözi.
Az eset illeszkedik a stabilcoin-kibocsátók körében megfigyelhető mintába, ahol a hiba forrása nem a szerződéses kód, hanem az adminisztratív ellenőrzés. A magasabb multisig-küszöbértékek, a kibocsátási funkciók időzárjai, a sebességkorlátozások és az anomália-felismerő rendszerek a stabilcoin-hálózatok standard kockázatcsökkentő intézkedései.
Úgy tűnik, hogy a MiCA szabályozási keretrendszer, amelyet az Európában működő stabilcoin-kibocsátók elszámoltathatóságának biztosítására hoztak létre, nem írta elő azokat a működési ellenőrzéseket, amelyek megakadályozták volna ezt a támadást. A szabályozók és az auditorok nyomás alá kerülhetnek, hogy az eseményt követően közvetlenebbül foglalkozzanak a kulcskezelési szabványokkal.
Az EURR és az USDR tulajdonosainak figyelemmel kell kísérniük a StablR hivatalos csatornáit, hogy értesüljenek a fedezetlen készletek tervezett megsemmisítéséről, a tartalékok feltöltéséről vagy a kártérítésről. A főbb amerikai dollár alapú stabilcoinok, köztük az USDT és az USDC, nem érintettek.
A stabilcoin-piac szélesebb körében az esemény nem okozott jelentős láncreakciót, de a StablR-incidens tovább növeli azon kisebb, regionális fókuszú kibocsátók számát, amelyek kódbeli sebezhetőségek helyett inkább irányítási hibák miatt veszítik el az árfolyam-rögzítés feletti ellenőrzést.
