De op Malta gevestigde uitgever van stablecoins StablR kreeg zondag te maken met een beveiligingsincident, nadat een aanvaller misbruik had gemaakt van een zwakke multisig-configuratie om miljoenen niet-gedekte EURR- en USDR-tokens te genereren en deze vervolgens op gedecentraliseerde beursplatforms (DEX) te dumpen.
MiCA-conforme euro-stablecoin zakt naar 0,85 dollar nadat een van de drie multisig-accounts via een beveiligingslek voor miljoenen is leeggehaald
GESCHREVEN DOOR
DELEN
Belangrijkste punten
- De EURR van StablR daalde naar $ 0,85 en de USDR daalde op 24 mei naar tussen de $ 0,40 en $ 0,64 nadat aanvallers ongedekte tokens hadden geslagen.
- Een 1-van-3 multisig-drempel zou aanvallers in staat hebben gesteld de controle over het slaan van tokens over te nemen, waardoor ongeveer $ 2,8 miljoen aan ETH werd weggehaald.
- Onchain-waarnemers wezen op de vermeende zwakke multisig-configuratie van StablR als een governance-risico dat de MiCA-regelgeving niet heeft voorkomen.
EURR daalt met 24% en USDR met 37% nu de twee stablecoins van StablR hun koppeling verliezen na een belangrijke exploit
Volgens berichten was de inbreuk niet het gevolg van een fout in het smart contract. Aanvallers zouden toegang hebben gekregen tot één privésleutel die een 1-van-3 multisig-wallet beheerde die de minting-functie van StablR regelde. Met één sleutel verwijderde de aanvaller legitieme ondertekenaars, voegde een gecontroleerd adres toe en gaf tokens uit zonder onderpand.
Om 8:10 uur ET op zondag reageerde StablR op X met de volgende verklaring:
"Beveiligingsupdate: we hebben een exploit geïdentificeerd die StablR treft en werken er actief aan om deze in te dammen en de impact te minimaliseren. Het beschermen van onze gebruikers en uw fondsen is onze topprioriteit. We zullen geverifieerde details en volgende stappen zo snel mogelijk delen."
Onchain-analisten schatten dat de aanvaller ongeveer 8,35 miljoen USDR en 4,5 miljoen EURR heeft geslagen, voordat hij deze verkocht via DEX-handelsparen met geringe liquiditeit. De onttrokken waarde werd gerapporteerd op ongeveer 1.115 ETH, wat overeenkomt met ongeveer 2,8 miljoen dollar, hoewel de totale uitgifte van ongedekte tokens mogelijk 10,4 miljoen dollar heeft bereikt.
De verkoopdruk brak beide koppelingen snel. EURR daalde naar $ 0,85, een daling van bijna 24%. USDR daalde verder en noteerde $ 0,64, een daling van bijna 36% sinds het begin van het jaar. USDR bereikte een intraday-dieptepunt van $ 0,40. Beide tokens daalden ook scherp ten opzichte van de Amerikaanse dollar, bitcoin en ethereum.
StablR brengt EURR op de markt als een aan de euro gekoppelde stablecoin en USDR als een aan de dollar gekoppeld token, beide gepositioneerd als gereguleerde instrumenten onder het Markets in Crypto-Assets (MiCA)-kader van de Europese Unie met openbaarmakingen van bewijzen van reserves. Het bedrijf slaat een brug tussen traditionele financiële en gedecentraliseerde financiële markten.
Beveiligingsbedrijf Blockaid maakte het incident openbaar en beschreef de 1-van-3-drempel als een "ernstige tekortkoming in sleutelbeheer en governance". Veel waarnemers merkten op dat één gecompromitteerde sleutel niet de bevoegdheid zou mogen hebben om valuta uit te geven, maar naar verluidt maakte de configuratie van StablR precies dat mogelijk.
"De uitgifte van EURR werd gecontroleerd door een 1/3 multisig-implementatie (niet veilig) waarvan de ondertekenaars door de vermeende aanvaller werden vervangen", schreef een X-account zondag. "Vervolgens bleven ze nieuwe EURR overmaken en uitgeven om op secundaire markten te verkopen, wat leidde tot een ontkoppeling van de secundaire markt. Het is vermeldenswaard dat StablR eerder heeft verklaard dat ze het Hadron-tokenisatieplatform van Tether gebruiken om de uitgifte van EURR mogelijk te maken."
De persoon voegde hieraan toe:
"Als dit een exploit is, is het de eerste in zijn soort voor een MiCA-conforme stablecoin."
Hoewel StablR de exploit via zijn officiële X-accounts erkende, was er op het moment van schrijven geen gedetailleerde technische analyse of tijdschema voor herstel beschikbaar. Analisten uit de community op X debatteerden de hele dag over schattingen van het verlies, variërend van 2,8 miljoen dollar tot 10,4 miljoen dollar. De grote variatie weerspiegelt het verschil tussen de onttrokken ethereum (ETH) en de totale nominale waarde van de niet-gedekte tokens die op de markt zijn gebracht.
Het incident past in een patroon dat bij verschillende stablecoin-uitgevers wordt waargenomen, waarbij administratieve controle in plaats van contractcode het zwakke punt is. Hogere multisig-drempels, tijdsloten op minting-functies, rate limits en systemen voor het detecteren van afwijkingen zijn standaardmaatregelen voor stablecoin-netwerken.
Het MiCA-regelgevingskader, dat is ontworpen om uitgevende instellingen van stablecoins die in Europa actief zijn verantwoordelijk te houden, lijkt niet de operationele controles te hebben vereist die deze aanval hadden kunnen voorkomen. Regelgevers en auditors kunnen na deze gebeurtenis onder druk komen te staan om belangrijke beheersnormen directer aan te pakken.
Houders van EURR en USDR dienen de officiële kanalen van StablR in de gaten te houden voor updates over een eventuele geplande vernietiging van de niet-gedekte voorraad, aanvulling van de reserves of compensatie. Grote stablecoins in Amerikaanse dollar, waaronder USDT en USDC, werden niet getroffen.
De bredere stablecoin-markt heeft de gebeurtenis zonder noemenswaardige besmetting opgevangen, maar het StablR-incident draagt bij aan een groeiend aantal gevallen waarin kleinere en regionaal gerichte uitgevers de koppeling aan de referentievaluta verliezen door falend bestuur in plaats van door kwetsbaarheden in de code.
