В воскресенье эмитент стейблкоинов StablR, базирующийся на Мальте, стал жертвой инцидента, связанного с нарушением безопасности: злоумышленник воспользовался уязвимостью в настройках мультиподписи, чтобы напечатать миллионы необеспеченных токенов EURR и USDR и сбросить их на платформах децентрализованных бирж (DEX).
Евро-стейблкоин, соответствующий требованиям MiCA, потерял привязку к евро и опустился до 0,85 доллара после того, как в результате взлома одного из трех мультисиг-кошельков были похищены миллионы долларов
АВТОР
ПОДЕЛИТЬСЯ
Ключевые выводы
- 24 мая курс EURR от StablR упал до 0,85 доллара, а USDR — до 0,40–0,64 доллара после того, как злоумышленники отчеканили необеспеченные токены.
- Сообщается, что порог мультиподписи «1 из 3» позволил злоумышленникам захватить контроль над чеканкой, похитив примерно 2,8 млн долларов в ETH.
- Наблюдатели за цепочкой блоков указали на предполагаемую слабую настройку мультиподписи StablR как на риск управления, который не был предотвращен регулированием MiCA.
EURR упал на 24%, а USDR — на 37% после того, как две стейблкоины StablR потеряли привязку к фиатной валюте в результате серьезной уязвимости
Сообщается, что взлом не был связан с уязвимостью смарт-контракта. По имеющимся данным, злоумышленники получили доступ к одному из трех закрытых ключей, управляющих кошельком с мультиподписью 1 из 3, который контролировал функцию эмиссии StablR. Имея один ключ, злоумышленник удалил легитимных подписантов, добавил контролируемый адрес и выпустил токены без обеспечения.
В воскресенье в 8:10 утра по восточному времени StablR прокомментировал ситуацию в X, заявив:
«Обновление по безопасности: мы выявили уязвимость, затрагивающую StablR, и активно работаем над ее устранением и минимизацией последствий. Защита наших пользователей и ваших средств является нашим главным приоритетом. Мы поделимся подтвержденными деталями и следующими шагами как можно скорее».
Аналитики Onchain подсчитали, что злоумышленник отчеканил примерно 8,35 млн USDR и 4,5 млн EURR, а затем продал их на DEX-парах с низкой ликвидностью. Полученная сумма составила примерно 1 115 ETH, что эквивалентно примерно 2,8 млн долларов, хотя общий объем выпущенных токенов без обеспечения, возможно, достиг 10,4 млн долларов.
Давление со стороны продавцов быстро сломало обе привязки. EURR упал до 0,85 доллара, потеряв почти 24%. USDR упал еще сильнее, торгуясь на уровне 0,64 доллара, что означает падение почти на 36% с начала года. USDR достиг дневного минимума в 0,40 доллара. Оба токена также резко упали по отношению к доллару США, биткоину и эфириуму.
StablR позиционирует EURR как стейблкоин, привязанный к евро, а USDR — как токен, привязанный к доллару; оба позиционируются как регулируемые инструменты в рамках законодательства Европейского союза о рынках криптоактивов (MiCA) с раскрытием информации о доказательствах наличия резервов. Компания соединяет рынки традиционных финансов и децентрализованных финансов.
Компания по обеспечению безопасности Blockaid публично сообщила об инциденте, охарактеризовав порог «1 из 3» как «серьезный провал в управлении ключами и корпоративном управлении». Многие наблюдатели отметили, что один скомпрометированный ключ не должен обладать полномочиями на эмиссию валюты, однако, как утверждается, конфигурация StablR позволяла именно это.
«Выпуск EURR контролировался реализацией мультиподписи 1 из 3 (не безопасной), подписантов которой заменил предполагаемый злоумышленник», — написал в воскресенье один из пользователей X. «Затем они продолжили переводить и чеканить новые EURR для продажи на вторичных рынках, что привело к отрыву от привязки на вторичном рынке. Стоит отметить, что StablR ранее заявляла, что использует платформу токенизации Hadron от Tether для выпуска EURR».
Этот человек добавил:
«Если это эксплойт, то это первый случай такого рода для стейблкоина, соответствующего требованиям MiCA».
Хотя StablR признала факт взлома через свои официальные аккаунты в X, на момент написания статьи не было доступно ни подробного технического отчета, ни графика восстановления. Аналитики сообщества в X в течение дня обсуждали оценки убытков, варьирующиеся от 2,8 до 10,4 миллиона долларов. Такой широкий разброс отражает разницу между извлеченным эфириумом (ETH) и общей номинальной стоимостью необеспеченных токенов, выпущенных на рынок.
Этот инцидент вписывается в общую картину, наблюдаемую среди эмитентов стейблкоинов, где точкой отказа является административный контроль, а не код контракта. Более высокие пороги мультиподписи, временные блокировки функций чеканки, ограничения скорости и системы обнаружения аномалий являются стандартными мерами по снижению рисков для сетей стейблкоинов.
Регуляторная база MiCA, призванная обеспечить подотчетность эмитентов стейблкоинов, работающих в Европе, по-видимому, не предусматривала операционных мер контроля, которые могли бы предотвратить эту атаку. После этого события регуляторы и аудиторы могут столкнуться с давлением, требующим более непосредственного решения вопросов ключевых стандартов управления.
Держатели EURR и USDR должны следить за официальными каналами StablR для получения обновлений о любом запланированном сжигании необеспеченного предложения, пополнении резервов или компенсации. Крупные стейблкоины, привязанные к доллару США, включая USDT и USDC, не пострадали.
Рынок стейблкоинов в целом перенес это событие без значительного распространения негативных последствий, однако инцидент со StablR пополняет растущий список небольших и региональных эмитентов, которые теряют контроль над привязкой к валюте из-за провалов в управлении, а не из-за уязвимостей в коде.
