W niedzielę doszło do incydentu związanego z bezpieczeństwem w firmie StablR, emitentce stablecoinów z siedzibą na Malcie, po tym jak haker wykorzystał słabą konfigurację podpisu wielokrotnego (multisig) do wyemitowania milionów tokenów EURR i USDR bez pokrycia, a następnie zrzucił je na platformach zdecentralizowanych giełd (DEX).
Stablecoin w euro zgodny z MiCA traci powiązanie z kursem i spada do 0,85 USD po tym, jak atak na jeden z trzech podpisów wielostronnych doprowadził do utraty milionów
NAPISAŁ
UDOSTĘPNIJ
Najważniejsze wnioski
- 24 maja cena tokenu EURR firmy StablR spadła do 0,85 USD, a cena USDR spadła do poziomu od 0,40 do 0,64 USD po tym, jak atakujący wyemitowali tokeny bez pokrycia.
- Według doniesień próg multisig 1 z 3 pozwolił atakującym przejąć kontrolę nad emisją, co spowodowało utratę około 2,8 mln USD w ETH.
- Obserwatorzy łańcucha bloków wskazali rzekomo słabą konfigurację multisig StablR jako ryzyko związane z zarządzaniem, którego nie zapobiegły przepisy MiCA.
Kurs EURR spadł o 24%, a USDR o 37%, gdy dwa stablecoiny StablR straciły powiązanie z walutą po kluczowym ataku
Raporty wskazują, że naruszenie nie wynikało z błędu w smart kontrakcie. Atakujący rzekomo uzyskali dostęp do pojedynczego klucza prywatnego kontrolującego portfel z podpisem wielokrotnym 1 z 3, który zarządzał funkcją emisji StablR. Posiadając jeden klucz, atakujący usunął uprawnionych sygnatariuszy, dodał kontrolowany adres i wyemitował tokeny bez zabezpieczenia.
W niedzielę o godz. 8:10 czasu wschodnioamerykańskiego StablR odniósł się do tej kwestii na X, stwierdzając:
„Aktualizacja dotycząca bezpieczeństwa: Zidentyfikowaliśmy lukę wpływającą na StablR i aktywnie pracujemy nad jej opanowaniem oraz zminimalizowaniem skutków. Ochrona naszych użytkowników i Państwa środków jest naszym priorytetem. Jak najszybciej podzielimy się zweryfikowanymi szczegółami i informacjami o kolejnych krokach”.
Analitycy Onchain oszacowali, że atakujący wyemitował około 8,35 mln USDR i 4,5 mln EURR, a następnie sprzedał je na parach handlowych DEX o niskiej płynności. Wyliczona wartość wyniosła około 1115 ETH, co odpowiada około 2,8 mln USD, choć łączna emisja tokenów bez zabezpieczenia mogła osiągnąć 10,4 mln USD.
Presja sprzedaży szybko przełamała oba parytety. Kurs EURR spadł do 0,85 USD, co oznacza spadek o blisko 24%. Kurs USDR spadł jeszcze bardziej, osiągając poziom 0,64 USD, co oznacza spadek o prawie 36% od początku roku. USDR osiągnął najniższy poziom w ciągu dnia wynoszący 0,40 USD. Oba tokeny gwałtownie straciły na wartości również w stosunku do dolara amerykańskiego, bitcoina i ethereum.
StablR wprowadza na rynek EURR jako stablecoin powiązany z euro oraz USDR jako token powiązany z dolarem, przy czym oba są pozycjonowane jako instrumenty regulowane w ramach unijnych ram dotyczących rynków kryptowalut (MiCA) z ujawnianiem informacji o rezerwach. Firma łączy tradycyjne rynki finansowe z rynkami zdecentralizowanych finansów.
Firma zabezpieczająca Blockaid publicznie zgłosiła ten incydent, opisując próg 1 z 3 jako „kluczową awarię zarządzania i nadzoru”. Wielu obserwatorów zauważyło, że pojedynczy skompromitowany klucz nie powinien dawać uprawnień do emisji waluty, jednak rzekomo konfiguracja StablR właśnie na to pozwalała.
„Emisja EURR była kontrolowana przez implementację multisig 1/3 (niezabezpieczoną), której sygnatariuszy rzekomy atakujący zastąpił” – napisał w niedzielę jeden z użytkowników X. „Następnie kontynuowali oni transfery i emisję nowych EURR w celu sprzedaży na rynkach wtórnych, co doprowadziło do odłączenia się kursu od waluty bazowej na rynku wtórnym. Warto zauważyć, że StablR oświadczyło wcześniej, iż wykorzystuje platformę tokenizacji Hadron firmy Tether do obsługi emisji EURR”.
Osoba ta dodała:
„Jeśli jest to exploit, to jest to pierwszy tego rodzaju przypadek w przypadku stablecoina zgodnego z MiCA”.
Chociaż StablR potwierdziło atak na swoich oficjalnych kontach na X, w momencie pisania tego tekstu nie było dostępnej szczegółowej analizy technicznej ani harmonogramu przywrócenia. Analitycy społeczności na X przez cały dzień dyskutowali o szacunkach strat, które wahały się od 2,8 mln do 10,4 mln dolarów. Duża rozbieżność odzwierciedla różnicę między wydobytym ethereum (ETH) a całkowitą wartością nominalną tokenów bez pokrycia wprowadzonych na rynek.
Incydent ten wpisuje się w schemat obserwowany wśród emitentów stablecoinów, gdzie punktem awarii jest raczej kontrola administracyjna niż kod umowy. Wyższe progi multisig, blokady czasowe funkcji emisji, limity szybkości oraz systemy wykrywania anomalii to standardowe środki ograniczające ryzyko w sieciach stablecoinów.
Ramy regulacyjne MiCA, zaprojektowane w celu zapewnienia odpowiedzialności emitentów stablecoinów działających w Europie, nie wydają się wymagać kontroli operacyjnych, które zapobiegłyby temu atakowi. Po tym wydarzeniu organy regulacyjne i audytorzy mogą stanąć pod presją, aby bardziej bezpośrednio zająć się kluczowymi standardami zarządzania.
Posiadacze EURR i USDR powinni śledzić oficjalne kanały StablR w celu uzyskania aktualnych informacji na temat planowanego spalania niezabezpieczonej podaży, uzupełnienia rezerw lub rekompensaty. Główne stablecoiny oparte na dolarze amerykańskim, w tym USDT i USDC, nie zostały dotknięte tym incydentem.
Szerszy rynek stablecoinów przetrwał to wydarzenie bez znaczącego efektu domina, ale incydent z StablR dołącza do rosnącej listy mniejszych i regionalnych emitentów, którzy tracą kontrolę nad parytetem walutowym raczej z powodu nieprawidłowości w zarządzaniu niż luk w kodzie.
