Izdajatelj stabilnih kriptovalut StablR s sedežem na Malti je v nedeljo doživel varnostni incident, potem ko je napadalec izkoristil pomanjkljivo konfiguracijo večkratnega podpisa (multisig) ter izdal milijone nekritega žetonov EURR in USDR ter jih nato odvrgel na platformah decentraliziranih borz (DEX).
Evropski stabilni kovanec, skladen z MiCA, se je odvezal od fiksne vrednosti in padel na 0,85 dolarja, potem ko je izkoriščanje varnostne luknje v enem od treh večstranskih podpisov povzročilo izgubo več milijonov
NAPISAL
DELI
Ključne ugotovitve
- Vrednost EURR podjetja StablR je 24. maja padla na 0,85 USD, vrednost USDR pa na 0,40–0,64 USD, potem ko so napadalci izdali nekrite žetone.
- Prag 1 od 3 multisig je po poročanju napadalcem omogočil prevzem nadzora nad izdajo, s čimer so izčrpali približno 2,8 milijona dolarjev v ETH.
- Opazovalci verige so opozorili na domnevno šibko nastavitev večkratnega podpisa StablR kot tveganje za upravljanje, ki ga uredba MiCA ni preprečila.
EURR pade za 24 % in USDR za 37 %, ko se sta dve stabilni kriptovaluti StablR odvezali od ključnega izkoriščanja
Poročila navajajo, da kršitev ni izvirala iz napake v pametni pogodbi. Napadalci so po poročanju pridobili dostop do enega zasebnega ključa, ki je nadzoroval denarnico z večkratnim podpisom 1 od 3, ki je upravljala funkcijo izdajanja StablR. Z enim ključem je napadalec odstranil legitimne podpisnike, dodal nadzorovani naslov in izdal žetone brez zavarovanja.
V nedeljo ob 8:10 po vzhodnoameriškem času je StablR obravnaval problem na X in navedel:
»Varnostna posodobitev: Odkrili smo izkoriščanje, ki vpliva na StablR, in aktivno delamo na tem, da ga omejimo in zmanjšamo vpliv. Zaščita naših uporabnikov in vaših sredstev je naša glavna prioriteta. Preverjene podrobnosti in naslednje korake bomo delili čim prej.«
Analitiki Onchain so ocenili, da je napadalec izdal približno 8,35 milijona USDR in 4,5 milijona EURR, preden jih je prodal prek trgovalnih parov DEX z nizko likvidnostjo. Izčrpana vrednost je bila ocenjena na približno 1.115 ETH, kar ustreza približno 2,8 milijona dolarjev, čeprav je skupna izdaja nekritega tokena morda dosegla 10,4 milijona dolarjev.
Prodajni pritisk je hitro prebil obe vezavi. EURR je padel na 0,85 dolarja, kar je padec za skoraj 24 %. USDR je padel še nižje in se trgoval po 0,64 dolarja, kar je padec za skoraj 36 % od začetka leta. USDR je dosegel dnevno najnižjo vrednost 0,40 dolarja. Oba tokena sta močno padla tudi v primerjavi z ameriškim dolarjem, bitcoinom in ethereumu.
StablR trži EURR kot stabilno kriptovaluto, vezano na evro, in USDR kot token, vezan na dolar, oba pa sta pozicionirana kot regulirana instrumenta v okviru okvira Evropske unije za trge s kriptosredstvi (MiCA) z razkritjem dokazil o rezervah. Podjetje povezuje tradicionalne finančne trge in trge decentraliziranih financ.
Varnostno podjetje Blockaid je javno opozorilo na incident in opisalo prag 1 od 3 kot »ključno napako pri upravljanju in vodenju«. Mnogi opazovalci so komentirali, da en sam ogrožen ključ ne bi smel imeti moči za izdajo valute, vendar naj bi konfiguracija StablR-ja točno to omogočala.
»Izdajanje EURR je nadzorovala implementacija 1/3 multisig (ne Safe), katere podpisnike je domnevni napadalec zamenjal,« je v nedeljo zapisal en uporabnik na X. »Nato so nadaljevali s prenosom in kovanjem novih EURR za prodajo na sekundarnih trgih, kar je pripeljalo do odveze od referenčnega tečaja na sekundarnem trgu. Treba je omeniti, da je StablR že prej navedel, da za izdajanje EURR uporablja Tetherjevo platformo za tokenizacijo Hadron.«
Oseba je dodala:
„Če gre za izkoriščanje ranljivosti, je to prvo tovrstno za stabilno kriptovaluto, ki je skladna z MiCA.“
Čeprav je StablR izkoriščanje priznal prek svojih uradnih računov na X, v času pisanja tega članka ni bilo na voljo podrobne tehnične analize ali časovnega okvira za obnovo. Analitiki skupnosti na X so ves dan razpravljali o ocenah izgub, ki so se gibale od 2,8 milijona do 10,4 milijona dolarjev. Velika razlika odraža razliko med izčrpanim ethereumom (ETH) in skupno nominalno vrednostjo nekritega tokena, ki je bil uveden na trg.
Incident ustreza vzorcu, ki ga je mogoče opaziti pri izdajateljih stabilnih kriptovalut, kjer je točka odpovedi upravni nadzor in ne pogodbeni kodeks. Višji pragi za večkratne podpise, časovne zapore pri funkcijah kovanja, omejitve hitrosti in sistemi za odkrivanje anomalij so standardni ukrepi za zmanjšanje tveganja v omrežjih stabilnih kriptovalut.
Zdi se, da regulativni okvir MiCA, zasnovan za zagotavljanje odgovornosti izdajateljev stabilnih kriptovalut, ki delujejo v Evropi, ni zahteval operativnih kontrol, ki bi preprečile ta napad. Regulatorji in revizorji se bodo po tem dogodku morda soočili s pritiskom, da se bolj neposredno lotijo ključnih standardov upravljanja.
Imetniki EURR in USDR naj spremljajo uradne kanale StablR za novice o morebitnem načrtovanem uničenju nepokritih zalog, dopolnitvi rezerv ali odškodnini. Večji stabilni kovanci v ameriških dolarjih, vključno z USDT in USDC, niso bili prizadeti.
Širši trg stabilnih kovancev je dogodek absorbiral brez večjega širjenja, vendar incident StablR prispeva k naraščajočemu številu manjših in regionalno usmerjenih izdajateljev, ki izgubljajo nadzor nad vezavo zaradi pomanjkljivosti v upravljanju in ne zaradi ranljivosti kode.
