Penerbit stablecoin yang berbasis di Malta, StablR, mengalami insiden keamanan pada hari Minggu, setelah seorang penyerang memanfaatkan kelemahan konfigurasi multisig untuk mencetak jutaan token EURR dan USDR yang tidak didukung aset dan membanjiri platform pertukaran terdesentralisasi (DEX).
Stablecoin Euro yang Sesuai dengan MiCA Melemah Menjadi $0,85 Setelah Eksploitasi Multisig pada Salah Satu dari Tiga Akun Menguras Dana Jutaan Dolar
DITULIS OLEH
BAGIKAN
Poin Utama
- Nilai EURR StablR turun menjadi $0,85, dan USDR turun antara $0,40 hingga $0,64 pada 24 Mei setelah penyerang mencetak token tanpa jaminan.
- Ambang batas multisig 1 dari 3 dilaporkan memungkinkan penyerang membajak kontrol pencetakan, sehingga menguras sekitar $2,8 juta dalam bentuk ETH.
- Pengamat on-chain menandai dugaan pengaturan multisig StablR yang lemah sebagai risiko tata kelola yang tidak dapat dicegah oleh regulasi MiCA.
EURR Anjlok 24%, dan USDR Turun 37% saat Dua Stablecoin StablR Terlepas dari Nilai Tukar Setelah Eksploitasi Penting
Laporan menyebutkan bahwa pelanggaran tersebut tidak berasal dari kelemahan kontrak pintar. Para penyerang dilaporkan mendapatkan akses ke satu kunci pribadi yang mengendalikan dompet multisig 1-dari-3 yang mengatur fungsi pencetakan StablR. Dengan satu kunci, penyerang menghapus penandatangan yang sah, menambahkan alamat yang dikendalikan, dan menerbitkan token tanpa jaminan.
Pada pukul 08.10 ET hari Minggu, StablR menanggapi masalah ini di X, dengan menyatakan:
"Pembaruan keamanan: Kami telah mengidentifikasi eksploitasi yang memengaruhi StablR dan sedang berupaya keras untuk mengatasinya serta meminimalkan dampaknya. Melindungi pengguna dan dana Anda adalah prioritas utama kami. Kami akan membagikan detail terverifikasi dan langkah selanjutnya sesegera mungkin."
Analis on-chain memperkirakan penyerang mencetak sekitar 8,35 juta USDR dan 4,5 juta EURR sebelum menjualnya di pasangan perdagangan DEX dengan likuiditas tipis. Nilai yang diekstraksi dilaporkan sekitar 1.115 ETH, setara dengan sekitar $2,8 juta, meskipun penerbitan token tanpa jaminan secara total mungkin mencapai $10,4 juta.
Tekanan penjualan dengan cepat merusak kedua peg tersebut. EURR turun ke $0,85, turun hampir 24%. USDR turun lebih jauh, diperdagangkan di $0,64, penurunan hampir 36% sejak awal tahun. USDR menyentuh level terendah intraday di $0,40. Kedua token tersebut juga turun tajam terhadap dolar AS, bitcoin, dan ethereum.
StablR memasarkan EURR sebagai stablecoin yang dipatok ke euro dan USDR sebagai token yang dipatok ke dolar AS, keduanya diposisikan sebagai instrumen yang diatur di bawah kerangka kerja Markets in Crypto-Assets (MiCA) Uni Eropa dengan pengungkapan bukti cadangan. Perusahaan ini menjembatani pasar keuangan tradisional dan pasar keuangan terdesentralisasi.
Perusahaan keamanan Blockaid menyoroti insiden ini secara publik, menggambarkan ambang batas 1 dari 3 sebagai "kegagalan manajemen kunci dan tata kelola." Banyak pengamat berkomentar bahwa satu kunci yang diretas seharusnya tidak memiliki wewenang untuk menerbitkan mata uang, namun konon konfigurasi StablR memungkinkan hal tersebut.
“Penerbitan EURR dikendalikan oleh implementasi multisig 1/3 (tidak aman) yang penandatanganannya diganti oleh penyerang yang diduga,” tulis salah satu akun X pada hari Minggu. “Mereka kemudian terus mentransfer dan mencetak EURR baru untuk dijual di pasar sekunder, yang menyebabkan depeg di pasar sekunder. Perlu dicatat bahwa StablR sebelumnya telah menyatakan bahwa mereka menggunakan platform tokenisasi Hadron dari Tether untuk mendukung penerbitan EURR.”
Orang tersebut menambahkan:
"Jika ini adalah eksploitasi, ini adalah yang pertama dari jenisnya untuk stablecoin yang sesuai dengan MiCA."
Meskipun StablR mengakui eksploitasi tersebut melalui akun X resminya, tidak ada analisis teknis mendetail atau jadwal pemulihan yang tersedia hingga saat penulisan. Analis komunitas di X mendiskusikan perkiraan kerugian berkisar antara $2,8 juta hingga $10,4 juta sepanjang hari. Perbedaan yang signifikan ini mencerminkan selisih antara jumlah ethereum (ETH) yang diekstraksi dan nilai nominal total token yang tidak didukung yang diperkenalkan ke pasar.
Insiden ini sejalan dengan pola yang terlihat di kalangan penerbit stablecoin, di mana titik kegagalan terletak pada kontrol administratif, bukan kode kontrak. Ambang batas multisig yang lebih tinggi, penguncian waktu pada fungsi pencetakan, batasan laju, dan sistem deteksi anomali merupakan mitigasi standar untuk jaringan stablecoin.
Kerangka regulasi MiCA, yang dirancang untuk meningkatkan akuntabilitas penerbit stablecoin yang beroperasi di Eropa, tampaknya tidak mewajibkan kontrol operasional yang dapat mencegah serangan ini. Regulator dan auditor mungkin menghadapi tekanan untuk menangani standar manajemen kunci secara lebih langsung pasca peristiwa ini.
Pemegang EURR dan USDR disarankan memantau saluran resmi StablR untuk pembaruan terkait rencana pembakaran pasokan yang tidak didukung, pengisian kembali cadangan, atau kompensasi. Stablecoin dolar AS utama, termasuk USDT dan USDC, tidak terpengaruh.
Pasar stablecoin secara luas menyerap peristiwa ini tanpa penularan yang signifikan, namun insiden StablR menambah catatan yang semakin panjang mengenai penerbit yang lebih kecil dan berfokus regional yang kehilangan kendali atas nilai tukar akibat kegagalan tata kelola, bukan kerentanan kode.
