ผู้ออกสเตเบิลคอยน์ StablR ซึ่งตั้งอยู่ในมอลตา เผชิญเหตุการณ์ด้านความปลอดภัยเมื่อวันอาทิตย์ หลังผู้โจมตีฉวยประโยชน์จากการตั้งค่า multisig ที่อ่อนแอเพื่อมินต์โทเคน EURR และ USDR ที่ไม่มีสินทรัพย์หนุนหลังหลายล้าน และเทขายบนแพลตฟอร์มตลาดแลกเปลี่ยนแบบกระจายศูนย์ (DEX)
ยูโรสเตเบิลคอยน์ที่ปฏิบัติตามกฎ MiCA หลุดเพ็กลงสู่ $0.85 หลังการโจมตีช่องโหว่มัลติซิก 1-ใน-3 ทำให้เงินหลายล้านถูกดูดออกไป
เขียนโดย
แชร์
ประเด็นสำคัญ
- EURR ของ StablR ร่วงลงเหลือ $0.85 และ USDR ลดลงอยู่ระหว่าง $0.40 ถึง $0.64 เมื่อวันที่ 24 พฤษภาคม หลังผู้โจมตีมินต์โทเคนที่ไม่มีสินทรัพย์หนุนหลัง
- มีรายงานว่าเกณฑ์ multisig แบบ 1-ใน-3 เปิดทางให้ผู้โจมตีเข้ายึดการควบคุมการมินต์ ทำให้ ETH ไหลออกประมาณ $2.8M
- ผู้สังเกตการณ์บนเชนชี้ว่าโครงสร้าง multisig ที่อ่อนแอซึ่งถูกกล่าวหาของ StablR เป็นความเสี่ยงด้านธรรมาภิบาลที่กฎระเบียบ MiCA ไม่ได้ป้องกัน
EURR ร่วง 24% และ USDR ลดลง 37% หลังสเตเบิลคอยน์สองตัวของ StablR หลุดเพ็กจากการเอ็กซ์พลอยต์ครั้งสำคัญ
รายงานระบุว่าการเจาะระบบไม่ได้เกิดจากช่องโหว่ของสมาร์ตคอนแทรกต์ ผู้โจมตีมีรายงานว่าได้เข้าถึงคีย์ส่วนตัวเพียงหนึ่งตัวที่ควบคุมกระเป๋า multisig แบบ 1-ใน-3 ซึ่งกำกับฟังก์ชันการมินต์ของ StablR ด้วยคีย์เดียว ผู้โจมตีได้ลบผู้ลงนามที่ถูกต้อง เพิ่มที่อยู่ที่ตนควบคุม และออกโทเคนโดยไม่มีหลักประกันหนุนหลัง
เวลา 8:10 น. ตามเวลา ET ในวันอาทิตย์ StablR ได้ชี้แจงประเด็นดังกล่าวบน X โดย ระบุว่า:
“อัปเดตความปลอดภัย: เราได้ระบุการเอ็กซ์พลอยต์ที่กระทบต่อ StablR และกำลังดำเนินการอย่างเต็มที่เพื่อควบคุมสถานการณ์และลดผลกระทบ การปกป้องผู้ใช้ของเราและเงินของคุณคือสิ่งสำคัญที่สุด เราจะแชร์รายละเอียดที่ตรวจสอบแล้วและขั้นตอนถัดไปโดยเร็วที่สุด”
นักวิเคราะห์บนเชน ประเมินว่า ผู้โจมตีมินต์ USDR ราว 8.35 ล้าน และ EURR 4.5 ล้าน ก่อนขายผ่านคู่เทรดบน DEX ที่มีสภาพคล่องบาง ทำให้มูลค่าที่ถูกดึงออกมารายงานอยู่ที่ราว 1,115 ETH หรือประมาณ $2.8 ล้าน แม้ว่ามูลค่าการออกโทเคนที่ไม่มีสินทรัพย์หนุนหลังทั้งหมดอาจสูงถึง $10.4 ล้าน
แรงเทขายทำให้ทั้งสองเพ็กแตกอย่างรวดเร็ว EURR ร่วงลงเหลือ $0.85 ลดลงเกือบ 24% USDR ลดลงมากกว่า โดยซื้อขายที่ $0.64 ลดลงเกือบ 36% นับตั้งแต่ต้นปี และ USDR ทำจุดต่ำสุดระหว่างวันแตะ $0.40 ทั้งสองโทเคนยังร่วงลงอย่างแรงเมื่อเทียบกับดอลลาร์สหรัฐ บิตคอยน์ และอีเธอเรียม
StablR ทำการตลาด EURR ในฐานะสเตเบิลคอยน์ที่ตรึงกับยูโร และ USDR ในฐานะโทเคนที่ตรึงกับดอลลาร์ โดยทั้งสองถูกวางตำแหน่งเป็นตราสารที่อยู่ภายใต้การกำกับดูแลตามกรอบ Markets in Crypto-Assets (MiCA) ของสหภาพยุโรป พร้อมการเปิดเผยหลักฐานเงินสำรอง (proof-of-reserves) บริษัททำหน้าที่เชื่อมโยงตลาดการเงินดั้งเดิมกับตลาดการเงินแบบกระจายศูนย์
บริษัทด้านความปลอดภัย Blockaid ชี้เหตุการณ์นี้ต่อสาธารณะ โดยอธิบายว่าเกณฑ์ 1-ใน-3 เป็น “ความล้มเหลวด้านการจัดการคีย์และธรรมาภิบาล” ผู้สังเกตการณ์จำนวนมากแสดงความเห็นว่า คีย์เดียวที่ถูกเจาะไม่ควรมีอำนาจในการออกสกุลเงินได้ แต่ตามที่ถูกกล่าวหา การตั้งค่าของ StablR กลับเปิดทางให้เกิดสิ่งนั้นได้
“การออก EURR ถูกควบคุมด้วยการใช้งาน multisig แบบ 1/3 (ไม่ใช่ Safe) ซึ่งผู้ลงนามถูกผู้โจมตีที่ถูกกล่าวหาแทนที่” บัญชีหนึ่งบน X เขียนเมื่อวันอาทิตย์ “จากนั้นพวกเขายังคงโอนและมินต์ EURR ใหม่เพื่อขายในตลาดรอง ทำให้เพ็กในตลาดรองหลุดออกไป นอกจากนี้ควรสังเกตว่า StablR เคยระบุไว้ก่อนหน้านี้ว่าใช้แพลตฟอร์มโทเคไนเซชัน Hadron ของ Tether เพื่อขับเคลื่อนการออก EURR”
บุคคลดังกล่าวเสริมว่า:
“หากนี่เป็นการเอ็กซ์พลอยต์ นี่คือครั้งแรกในรูปแบบนี้สำหรับสเตเบิลคอยน์ที่สอดคล้องกับ MiCA”
แม้ StablR จะยอมรับการเอ็กซ์พลอยต์ผ่านบัญชี X อย่างเป็นทางการ แต่ ณ เวลาที่เขียนยังไม่มีรายงานสรุปทางเทคนิคโดยละเอียด (postmortem) หรือไทม์ไลน์การกู้คืนที่ชัดเจน นักวิเคราะห์ชุมชนบน X ถกเถียงกันถึงตัวเลขความเสียหายตั้งแต่ $2.8 ล้าน ไปจนถึง $10.4 ล้านตลอดทั้งวัน ความแตกต่างที่มากสะท้อนช่องว่างระหว่างจำนวนอีเธอเรียม (ETH) ที่ถูกดึงออกไปกับมูลค่าหน้าตั๋วรวมของโทเคนที่ไม่มีสินทรัพย์หนุนหลังซึ่งถูกปล่อยเข้าสู่ตลาด
เหตุการณ์นี้สอดคล้องกับรูปแบบที่พบในผู้ออกสเตเบิลคอยน์หลายราย ซึ่งจุดล้มเหลวอยู่ที่การควบคุมเชิงผู้ดูแล (administrative control) มากกว่าที่โค้ดของคอนแทรกต์ มาตรการบรรเทาทั่วไปสำหรับเครือข่ายสเตเบิลคอยน์ ได้แก่ การเพิ่มเกณฑ์ multisig ให้สูงขึ้น การตั้ง time-lock สำหรับฟังก์ชันการมินต์ การจำกัดอัตรา (rate limits) และระบบตรวจจับความผิดปกติ
กรอบกำกับดูแล MiCA ซึ่งออกแบบมาเพื่อสร้างความรับผิดชอบให้กับผู้ออกสเตเบิลคอยน์ที่ดำเนินงานในยุโรป ดูเหมือนจะไม่ได้กำหนดให้ต้องมีการควบคุมเชิงปฏิบัติการที่สามารถป้องกันการโจมตีครั้งนี้ได้ หน่วยงานกำกับและผู้ตรวจสอบอาจเผชิญแรงกดดันให้จัดการมาตรฐานการบริหารคีย์ให้ตรงจุดมากขึ้นหลังเหตุการณ์นี้
ผู้ถือ EURR และ USDR ควรติดตามช่องทางทางการของ StablR เพื่ออัปเดตเกี่ยวกับแผนการเผา (burn) ปริมาณโทเคนที่ไม่มีสินทรัพย์หนุนหลัง การเติมเงินสำรอง หรือการชดเชย สเตเบิลคอยน์ดอลลาร์สหรัฐรายใหญ่ รวมถึง USDT และ USDC ไม่ได้รับผลกระทบ
ตลาดสเตเบิลคอยน์โดยรวมรับมือเหตุการณ์นี้ได้โดยไม่มีการลุกลามอย่างมีนัยสำคัญ แต่เหตุการณ์ของ StablR เพิ่มเติมให้กับสถิติที่กำลังเพิ่มขึ้นของผู้ออกรายย่อยและรายที่โฟกัสเฉพาะภูมิภาคซึ่งสูญเสียการตรึงเพ็กจากความล้มเหลวด้านธรรมาภิบาล มากกว่าจากช่องโหว่ของโค้ด
