Vydavateľ stablecoinu StablR so sídlom na Malte sa v nedeľu stal obeťou bezpečnostného incidentu, keď útočník využil slabú konfiguráciu multisig na vytvorenie miliónov nezabezpečených tokenov EURR a USDR a ich následné vypustenie na platformách decentralizovaných búrz (DEX).
Euro stablecoin spĺňajúci požiadavky MiCA klesol na 0,85 USD po tom, čo zneužitie jednej z troch multisig peňaženiek spôsobilo únik miliónov
NAPÍSAL
ZDIEĽAŤ
Kľúčové body
- Cena tokenu EURR spoločnosti StablR klesla na 0,85 USD a cena tokenu USDR klesla 24. mája na úroveň 0,40 až 0,64 USD po tom, čo útočníci vytvorili nezabezpečené tokeny.
- Prah multisig 1 z 3 údajne umožnil útočníkom prevziať kontrolu nad razbou a vybrať približne 2,8 milióna USD v ETH.
- Pozorovatelia onchain označili údajne slabé nastavenie multisig spoločnosti StablR za riziko správy, ktorému nariadenie MiCA nezabránilo.
EURR klesol o 24 % a USDR o 37 %, keď sa dve stabilné meny StablR odviazali od kľúčového exploitu
Správa uvádza, že narušenie nepochádzalo z chyby inteligentnej zmluvy. Útočníci údajne získali prístup k jedinému súkromnému kľúču, ktorý ovládal peňaženku s prahom 1 z 3 multisig, ktorá riadila funkciu razenia StablR. S jedným kľúčom útočník odstránil legitímnych signatárov, pridal kontrolovanú adresu a vydal tokeny bez krytia kolaterálom.
V nedeľu o 8:10 ráno (ET) sa StablR vyjadril k problému na X a uviedol:
„Bezpečnostná aktualizácia: Zistili sme zraniteľnosť ovplyvňujúcu StablR a aktívne pracujeme na jej odstránení a minimalizovaní dopadu. Ochrana našich používateľov a vašich prostriedkov je našou najvyššou prioritou. Overené podrobnosti a ďalšie kroky zverejníme čo najskôr.“
Analytici Onchain odhadli, že útočník vyrazil približne 8,35 milióna USDR a 4,5 milióna EURR, ktoré následne predal cez obchodné páry DEX s nízkou likviditou. Hodnota získaných prostriedkov bola odhadnutá na približne 1 115 ETH, čo zodpovedá približne 2,8 milióna USD, hoci celková emisia nezabezpečených tokenov mohla dosiahnuť 10,4 milióna USD.
Predajný tlak rýchlo prelomil obe väzby. EURR klesol na 0,85 USD, čo predstavuje pokles takmer o 24 %. USDR klesol ešte viac a obchodoval sa na úrovni 0,64 USD, čo predstavuje pokles takmer o 36 % od začiatku roka. USDR dosiahol intradenné minimum 0,40 USD. Oba tokeny tiež prudko klesli voči americkému doláru, bitcoinu a ethereu.
StablR uvádza EURR na trh ako stabilnú menu viazanú na euro a USDR ako token viazaný na dolár, pričom obe sú umiestnené ako regulované nástroje v rámci rámca EÚ pre trhy s kryptoaktívami (MiCA) so zverejnením dôkazov o rezervách. Spoločnosť spája tradičné finančné trhy a trhy decentralizovaného financovania.
Bezpečnostná firma Blockaid na incident verejne upozornila a prah 1 z 3 opísala ako „zlyhanie kľúčového riadenia a správy“. Mnohí pozorovatelia poznamenali, že jediný kompromitovaný kľúč by nemal mať právomoc vydávať menu, no konfigurácia StablR to údajne práve umožňovala.
„Emisia EURR bola kontrolovaná implementáciou multisig 1/3 (nie Safe), ktorej signatárov údajný útočník nahradil,“ napísal v nedeľu jeden účet na X. „Potom pokračovali v prevode a razení nových EURR na predaj na sekundárnych trhoch, čo viedlo k odviazaniu od sekundárneho trhu. Stojí za zmienku, že spoločnosť StablR predtým uviedla, že na emisiu EURR používa tokenizačnú platformu Hadron od spoločnosti Tether.“
Táto osoba dodala:
„Ak ide o exploit, je to prvý svojho druhu pre stablecoin kompatibilný s MiCA.“
Hoci StablR potvrdil tento exploit prostredníctvom svojich oficiálnych účtov na X, v čase písania tohto článku nebola k dispozícii žiadna podrobná technická analýza ani harmonogram obnovy. Analytici komunity na X počas dňa diskutovali o odhadoch strát v rozmedzí od 2,8 milióna do 10,4 milióna dolárov. Táto veľká variabilita odzrkadľuje rozdiel medzi vyťaženým ethereom (ETH) a celkovou nominálnou hodnotou nezabezpečených tokenov uvedených na trh.
Tento incident zapadá do vzorca pozorovaného u emitentov stabilných mincí, kde je bodom zlyhania skôr administratívna kontrola ako zmluvný kód. Vyššie prahy multisig, časové zámky na funkcie razenia, obmedzenia rýchlosti a systémy detekcie anomálií sú štandardnými opatreniami na zmiernenie rizík v sieťach stabilných mincí.
Zdá sa, že regulačný rámec MiCA, navrhnutý s cieľom zaviesť zodpovednosť emitentov stablecoinov pôsobiacich v Európe, nevyžadoval prevádzkové kontroly, ktoré by tomuto útoku zabránili. Regulačné orgány a audítori môžu po tejto udalosti čeliť tlaku, aby sa priamo zaoberali kľúčovými štandardmi riadenia.
Držitelia EURR a USDR by mali sledovať oficiálne kanály StablR, kde nájdu aktualizácie o akomkoľvek plánovanom spálení nezabezpečených zásob, doplnení rezerv alebo kompenzácii. Hlavné stablecoiny v amerických dolároch, vrátane USDT a USDC, neboli ovplyvnené.
Širší trh so stablecoinmi túto udalosť absorboval bez výrazného šírenia, ale incident spoločnosti StablR sa pridáva k rastúcemu zoznamu menších a regionálne zameraných emitentov, ktorí strácajú kontrolu nad viazaním na menový kurz skôr v dôsledku zlyhaní v riadení než v dôsledku zraniteľností kódu.
