StablR, emittente di stablecoin con sede a Malta, ha subito domenica un incidente di sicurezza, dopo che un hacker ha sfruttato una configurazione multisig vulnerabile per coniare milioni di token EURR e USDR privi di copertura e riversarli sulle piattaforme di scambio decentralizzate (DEX).
Stablecoin in euro conforme alla normativa MiCA perde l'ancoraggio e scende a 0,85 dollari dopo che un attacco a una delle tre firme multisig ha prosciugato milioni
SCRITTO DA
CONDIVIDI
Punti chiave
- Il 24 maggio, l'EURR di StablR è sceso a 0,85 $ e l'USDR è sceso tra 0,40 $ e 0,64 $ dopo che gli hacker hanno coniato token non garantiti.
- Secondo quanto riferito, una soglia multisig 1 su 3 ha permesso agli hacker di dirottare i controlli di emissione, sottraendo circa 2,8 milioni di dollari in ETH.
- Gli osservatori on-chain hanno segnalato la presunta configurazione multisig debole di StablR come un rischio di governance che la normativa MiCA non ha saputo prevenire.
L'EURR scende del 24% e l'USDR del 37% mentre le due stablecoin di StablR si sganciano dopo un exploit chiave
Secondo quanto riportato, la violazione non è derivata da un difetto dello smart contract. A quanto pare, gli hacker hanno ottenuto l'accesso a una singola chiave privata che controllava un portafoglio multisig 1 su 3 che regolava la funzione di emissione di StablR. Con una sola chiave, l'hacker ha rimosso i firmatari legittimi, aggiunto un indirizzo controllato ed emesso token senza copertura di garanzia.
Alle 8:10 ET di domenica, StablR ha affrontato la questione su X, affermando:
"Aggiornamento sulla sicurezza: abbiamo identificato un exploit che ha colpito StablR e stiamo lavorando attivamente per contenerlo e minimizzarne l'impatto. Proteggere i nostri utenti e i vostri fondi è la nostra massima priorità. Condivideremo i dettagli verificati e i prossimi passi il prima possibile."
Gli analisti di Onchain hanno stimato che l'autore dell'attacco abbia coniato circa 8,35 milioni di USDR e 4,5 milioni di EURR prima di venderli su coppie di trading DEX con scarsa liquidità. Il valore sottratto è stato stimato in circa 1.115 ETH, equivalenti a circa 2,8 milioni di dollari, anche se l'emissione totale di token non garantiti potrebbe aver raggiunto i 10,4 milioni di dollari.
La pressione di vendita ha rapidamente rotto entrambi i peg. L'EURR è sceso a 0,85 dollari, con un calo di quasi il 24%. L'USDR è sceso ulteriormente, scambiando a 0,64 dollari, con un calo di quasi il 36% da inizio anno. L'USDR ha toccato un minimo intraday di 0,40 dollari. Entrambi i token hanno anche subito un forte calo rispetto al dollaro statunitense, al bitcoin e all'ethereum.
StablR commercializza l'EURR come stablecoin ancorato all'euro e l'USDR come token ancorato al dollaro, entrambi posizionati come strumenti regolamentati nell'ambito del quadro normativo dell'Unione Europea sui mercati delle cripto-attività (MiCA) con divulgazione delle riserve. L'azienda fa da ponte tra la finanza tradizionale e i mercati della finanza decentralizzata.
La società di sicurezza Blockaid ha segnalato pubblicamente l'incidente, descrivendo la soglia 1 su 3 come un "fallimento chiave nella gestione e nella governance". Molti osservatori hanno commentato che una singola chiave compromessa non dovrebbe avere il potere di emettere valuta, eppure, a quanto pare, la configurazione di StablR consentiva proprio questo.
"L'emissione di EURR era controllata da un'implementazione multisig 1/3 (non sicura) i cui firmatari sono stati sostituiti dal presunto aggressore", ha scritto domenica un account X. "Hanno poi continuato a trasferire e coniare nuovi EURR da vendere sui mercati secondari, portando a un depegging del mercato secondario. Vale la pena notare che StablR ha precedentemente dichiarato di utilizzare la piattaforma di tokenizzazione Hadron di Tether per alimentare l'emissione di EURR".
L'utente ha aggiunto:
"Se si tratta di un exploit, è il primo del suo genere per una stablecoin conforme al MiCA".
Sebbene StablR abbia riconosciuto l’exploit tramite i suoi account X ufficiali, al momento della stesura di questo articolo non erano disponibili analisi tecniche dettagliate o tempistiche di ripristino. Gli analisti della community su X hanno discusso per tutta la giornata stime di perdita che vanno da 2,8 milioni a 10,4 milioni di dollari. L’ampia variazione riflette la differenza tra l’ethereum (ETH) estratto e il valore nominale totale dei token non garantiti immessi sul mercato.
L'incidente rientra in un modello riscontrato tra gli emittenti di stablecoin in cui il punto di fallimento è il controllo amministrativo piuttosto che il codice contrattuale. Soglie multisig più elevate, blocchi temporali sulle funzioni di emissione, limiti di velocità e sistemi di rilevamento delle anomalie sono misure di mitigazione standard per le reti di stablecoin.
Il quadro normativo MiCA, progettato per garantire la responsabilità degli emittenti di stablecoin che operano in Europa, non sembra aver richiesto i controlli operativi che avrebbero potuto prevenire questo attacco. A seguito di questo evento, le autorità di regolamentazione e i revisori potrebbero trovarsi sotto pressione per affrontare più direttamente gli standard chiave di gestione. I possessori di EURR e USDR dovrebbero monitorare i canali ufficiali di StablR per aggiornamenti su eventuali piani di burn dell'offerta non garantita, ricostituzione delle riserve o compensazioni. Le principali stablecoin in dollari statunitensi, tra cui USDT e USDC, non sono state interessate. Il mercato delle stablecoin in generale ha assorbito l'evento senza un contagio significativo, ma l'incidente di StablR si aggiunge a una lista crescente di emittenti più piccoli e focalizzati a livello regionale che perdono il controllo dell'ancoraggio a causa di fallimenti di governance piuttosto che di vulnerabilità del codice.
