MiCA-kompatibel euro-stablecoin mister bindingen og faller til 0,85 dollar etter at et 1-av-3 multisig-angrep tømmer millioner

EURR faller 24 %, og USDR faller 37 % når StablRs to stablecoins mister peggingen etter nøkkelutnyttelse

Rapporter sier at bruddet ikke stammet fra en feil i en smartkontrakt. Angripere fikk angivelig tilgang til én enkelt privatnøkkel som kontrollerte en 1-av-3 multisig-lommebok som styrte StablRs pregingsfunksjon. Med én nøkkel fjernet angriperen legitime underskrivere, la til en kontrollert adresse og utstedte tokens uten sikkerhetsdekning.

Kl. 08:10 ET søndag adresserte StablR saken på X, og uttalte:

“Sikkerhetsoppdatering: Vi har identifisert en utnyttelse som påvirker StablR, og vi jobber aktivt for å begrense den og minimere konsekvensene. Å beskytte brukerne våre og midlene deres er vår høyeste prioritet. Vi vil dele verifiserte detaljer og neste steg så snart som mulig.”

Onchain-analytikere anslo at angriperen preget omtrent 8,35 millioner USDR og 4,5 millioner EURR før de solgte dem på tvers av DEX-handelspar med tynn likviditet. Den uttrukne verdien ble rapportert til rundt 1 115 ETH, tilsvarende omtrent 2,8 millioner dollar, selv om den totale utstedelsen av ubackede tokens kan ha nådd 10,4 millioner dollar.

Salgspresset brøt begge peggingene raskt. EURR falt til $0,85, ned nær 24 %. USDR falt ytterligere og handlet til $0,64, en nedgang på nesten 36 % hittil i år. USDR var innom et intradag-lavpunkt på $0,40. Begge tokenene falt også kraftig mot amerikanske dollar, bitcoin og ethereum.

StablR markedsfører EURR som en euro-pegged stablecoin og USDR som en dollar-pegged token, begge posisjonert som regulerte instrumenter under EU-rammeverket Markets in Crypto-Assets (MiCA) med offentliggjøringer av proof-of-reserves. Selskapet bygger bro mellom tradisjonell finans og desentraliserte finansmarkeder.

Sikkerhetsselskapet Blockaid pekte på hendelsen offentlig og beskrev 1-av-3-terskelen som en «svikt i nøkkelhåndtering og styring». Mange observatører kommenterte at én kompromittert nøkkel ikke bør ha makten til å utstede valuta, men angivelig tillot StablRs konfigurasjon nettopp det.

«EURR-utstedelsen ble kontrollert av en 1/3 multisig-implementasjon (ikke Safe) hvis underskrivere den påståtte angriperen erstattet», skrev en X-konto søndag. «Deretter fortsatte de å overføre og prege ny EURR for å selge på sekundærmarkeder, noe som førte til depegging i sekundærmarkedet. Det er verdt å merke seg at StablR tidligere har uttalt at de bruker Tethers Hadron-tokeniseringsplattform til å drive EURR-utstedelsen.»

Vedkommende la til:

“Hvis dette er en utnyttelse, er det den første av sitt slag for en MiCA-kompatibel stablecoin.”

Selv om StablR anerkjente utnyttelsen via sine offisielle X-kontoer, var ingen detaljert teknisk postmortem eller tidslinje for gjenoppretting tilgjengelig i skrivende stund. Samfunnsanalytikere på X diskuterte tapanslag som varierte fra 2,8 millioner til 10,4 millioner dollar gjennom dagen. Den store variasjonen gjenspeiler forskjellen mellom den ethereum (ETH) som ble trukket ut og den totale pålydende verdien av ubackede tokens som ble introdusert i markedet.

Hendelsen passer inn i et mønster som er sett hos stablecoin-utstedere der administrativ kontroll, snarere enn kontraktkode, er feilpunktet. Høyere multisig-terskler, tidslåser på pregingsfunksjoner, rate limits og anomalideteksjonssystemer er standard tiltak for stablecoin-nettverk.

MiCA-regelverket, utformet for å skape ansvarlighet hos stablecoin-utstedere som opererer i Europa, ser ikke ut til å ha krevd de operasjonelle kontrollene som ville ha forhindret dette angrepet. Regulatorer og revisorer kan møte press for å adressere standarder for nøkkelhåndtering mer direkte etter denne hendelsen.

Innehavere av EURR og USDR bør følge StablRs offisielle kanaler for oppdateringer om eventuell planlagt brenning av den ubackede beholdningen, påfylling av reserver eller kompensasjon. Store amerikanske dollar-stablecoins, inkludert USDT og USDC, ble ikke påvirket.

Det bredere stablecoin-markedet absorberte hendelsen uten betydelig smitteeffekt, men StablR-hendelsen føyer seg inn i en voksende historikk der mindre og regionalt fokuserte utstedere mister pegging-kontroll gjennom styringssvikt snarere enn kode-sårbarheter.