StablR, en utgivare av stablecoins med säte på Malta, drabbades av en säkerhetsincident i söndags, efter att en angripare utnyttjat en bristfällig multisig-konfiguration för att skapa miljontals EURR- och USDR-tokens utan täckning och sedan dumpa dem på decentraliserade börsplattformar (DEX).
MiCA-kompatibel euro-stablecoin tappar kopplingen till 0,85 dollar efter att en av tre multisig-sårbarheter lett till att miljoner dränerats
SKRIVEN AV
DELA
Viktiga slutsatser
- StablRs EURR sjönk till 0,85 dollar och USDR föll till mellan 0,40 och 0,64 dollar den 24 maj efter att angripare präglat icke-backade tokens.
- En 1-av-3-multisig-tröskel lät enligt uppgift angriparna ta kontroll över myntningen och tömma cirka 2,8 miljoner dollar i ETH.
- Onchain-observatörer flaggade StablRs påstått svaga multisig-konfiguration som en styrningsrisk som MiCA-regleringen inte förhindrade.
EURR sjunker med 24 % och USDR med 37 % när StablRs två stablecoins avkoblas efter nyckelexploit
Rapporter säger att intrånget inte berodde på en brist i smartkontraktet. Angriparna ska enligt uppgift ha fått tillgång till en enda privat nyckel som kontrollerade en 1-av-3-multisig-plånbok som styrde StablRs myntningsfunktion. Med en nyckel tog angriparen bort legitima signatärer, lade till en kontrollerad adress och utfärdade tokens utan säkerhetsstöd.
Kl. 08:10 ET på söndagen tog StablR upp frågan på X och uppgav:
"Säkerhetsuppdatering: Vi har identifierat en säkerhetslucka som påverkar StablR och arbetar aktivt för att begränsa den och minimera påverkan. Att skydda våra användare och era medel är vår högsta prioritet. Vi kommer att dela verifierade detaljer och nästa steg så snart som möjligt."
Onchain-analytiker uppskattade att angriparen präglade cirka 8,35 miljoner USDR och 4,5 miljoner EURR innan de såldes över DEX-handelspar med låg likviditet. Det utvunna värdet rapporterades till ungefär 1 115 ETH, motsvarande cirka 2,8 miljoner dollar, även om den totala utgivningen av token utan säkerhet kan ha nått 10,4 miljoner dollar.
Försäljningspressen bröt snabbt båda kopplingarna. EURR föll till 0,85 dollar, en nedgång på nära 24 %. USDR föll ytterligare och handlades till 0,64 dollar, en nedgång på nästan 36 % sedan årsskiftet. USDR nådde en lägsta nivå under dagen på 0,40 dollar. Båda tokenen föll också kraftigt mot den amerikanska dollarn, bitcoin och ethereum.
StablR marknadsför EURR som en euro-knuten stablecoin och USDR som en dollar-knuten token, båda positionerade som reglerade instrument enligt EU:s ramverk för marknader för kryptotillgångar (MiCA) med redovisning av reservbevis. Företaget överbryggar traditionella finansmarknader och decentraliserade finansmarknader.
Säkerhetsföretaget Blockaid flaggade incidenten offentligt och beskrev tröskeln 1 av 3 som ett ”viktigt misslyckande inom hantering och styrning”. Många observatörer kommenterade att en enda komprometterad nyckel inte borde ha befogenhet att ge ut valuta, men enligt uppgift tillät StablRs konfiguration just detta.
”Utgivningen av EURR kontrollerades av en 1/3 multisig-implementering (inte säker) vars undertecknare den påstådda angriparen ersatte”, skrev ett X-konto på söndagen. ”De fortsatte sedan att överföra och prägla nya EURR för att sälja på sekundära marknader, vilket ledde till att kopplingen till den sekundära marknaden bröts. Det är värt att notera att StablR tidigare har uppgett att de använder Tethers Hadron-tokeniseringsplattform för att driva utgivningen av EURR.”
Personen tillade:
”Om detta är en säkerhetslucka är det den första i sitt slag för en MiCA-kompatibel stablecoin.”
StablR erkände säkerhetsluckan via sina officiella X-konton, men vid skrivande stund fanns ingen detaljerad teknisk analys eller tidsplan för återställning tillgänglig. Analytiker i X-communityn diskuterade under dagen förlustuppskattningar som sträckte sig från 2,8 miljoner dollar till 10,4 miljoner dollar. Den stora variansen speglar skillnaden mellan den utvunna ethereum (ETH) och det totala nominella värdet av de icke-stödda tokens som introducerats på marknaden.
Händelsen passar in i ett mönster som ses hos många utgivare av stablecoins, där administrativ kontroll snarare än kontraktskod är svagheten. Högre trösklar för multisignaturer, tidslås på myntningsfunktioner, hastighetsbegränsningar och system för avvikelsedetektering är standardåtgärder för stablecoin-nätverk.
MiCA-regelverket, som utformats för att införa ansvarsskyldighet för utgivare av stablecoins som är verksamma i Europa, verkar inte ha ställt krav på de operativa kontroller som skulle ha förhindrat denna attack. Tillsynsmyndigheter och revisorer kan komma att utsättas för påtryckningar att ta itu med viktiga förvaltningsstandarder mer direkt efter denna händelse.
Innehavare av EURR och USDR bör följa StablRs officiella kanaler för uppdateringar om eventuell planerad förbränning av det icke-täckta utbudet, påfyllning av reserver eller kompensation. Stora stablecoins i amerikanska dollar, inklusive USDT och USDC, påverkades inte.
Den bredare stablecoin-marknaden klarade händelsen utan någon betydande smittspridning, men StablR-incidenten bidrar till en växande lista över mindre och regionalt inriktade utgivare som förlorar kontrollen över kopplingen till valutan på grund av brister i styrningen snarare än sårbarheter i koden.
