Malta merkezli stabilcoin ihraççısı StablR, Pazar günü bir güvenlik ihlali yaşadı. Saldırgan, zayıf bir çoklu imza (multisig) yapılandırmasını istismar ederek milyonlarca teminatsız EURR ve USDR tokeni basmış ve bunları merkeziyetsiz borsa (DEX) platformlarına boşaltmıştı.
MiCA uyumlu Euro sabit parası, 3'lü çoklu imza sistemindeki bir güvenlik açığı nedeniyle milyonlarca doların çalınmasının ardından 0,85 dolara geriledi
YAZAN
PAYLAŞ
Önemli Noktalar
- Saldırganların teminatsız token basmasının ardından, 24 Mayıs'ta StablR'nin EURR'si 0,85 dolara, USDR'si ise 0,40 ile 0,64 dolar arasına düştü.
- Bildirildiğine göre, 1'e 3 çoklu imza eşiği, saldırganların basım kontrollerini ele geçirmesine ve yaklaşık 2,8 milyon dolarlık ETH'yi boşaltmasına olanak tanıdı.
- Onchain gözlemcileri, StablR'nin zayıf olduğu iddia edilen çoklu imza yapılandırmasını, MiCA düzenlemesinin önleyemediği bir yönetişim riski olarak işaret etti.
StablR'nin iki stabilcoin'i önemli bir güvenlik açığı nedeniyle değer kaybetti; EURR %24, USDR %37 düştü
Raporlara göre, ihlal akıllı sözleşme kusurundan kaynaklanmadı. Saldırganların, StablR'nin basım işlevini yöneten 1'e 3 çoklu imza cüzdanını kontrol eden tek bir özel anahtara erişim sağladığı bildirildi. Saldırgan, tek bir anahtarla meşru imzalayıcıları kaldırdı, kontrol ettiği bir adresi ekledi ve teminat desteği olmayan tokenler çıkardı.
Pazar günü saat 08:10'da (ET), StablR X'te konuyla ilgili şu açıklamayı yaptı:
"Güvenlik güncellemesi: StablR'yi etkileyen bir istismar tespit ettik ve bunu kontrol altına almak ve etkisini en aza indirmek için aktif olarak çalışıyoruz. Kullanıcılarımızı ve fonlarınızı korumak bizim en büyük önceliğimizdir. Doğrulanmış ayrıntıları ve sonraki adımları mümkün olan en kısa sürede paylaşacağız."
Onchain analistleri, saldırganın yaklaşık 8,35 milyon USDR ve 4,5 milyon EURR basıp, bunları likiditesi düşük DEX işlem çiftlerinde sattığını tahmin etti. Çıkarılan değerin yaklaşık 1.115 ETH olduğu bildirildi; bu da yaklaşık 2,8 milyon dolara denk geliyor, ancak teminatsız toplam token ihracı 10,4 milyon dolara ulaşmış olabilir.
Satış baskısı her iki sabit pariteyi de hızla bozdu. EURR %24'e yakın bir düşüşle 0,85 dolara geriledi. USDR daha da düşerek 0,64 dolardan işlem gördü; bu, yıl başından bu yana yaklaşık %36'lık bir düşüşe tekabül ediyor. USDR gün içi en düşük seviyesi olan 0,40 dolara geriledi. Her iki token de ABD doları, bitcoin ve ethereum karşısında keskin bir düşüş yaşadı.
StablR, EURR'yi euroya sabitlenmiş bir stabilcoin, USDR'yi ise dolara sabitlenmiş bir token olarak pazarlıyor. Her ikisi de, rezerv kanıtı açıklamalarıyla birlikte Avrupa Birliği'nin Kripto Varlık Piyasaları (MiCA) çerçevesi altında düzenlenmiş araçlar olarak konumlandırılıyor. Şirket, geleneksel finans ile merkeziyetsiz finans piyasaları arasında köprü kuruyor.
Güvenlik firması Blockaid, olayı kamuoyuna duyurdu ve 1'e 3 eşiğini "önemli bir yönetim ve yönetişim hatası" olarak nitelendirdi. Birçok gözlemci, tek bir ele geçirilmiş anahtarın para basma yetkisine sahip olmaması gerektiğini belirtti, ancak iddialara göre StablR'nin yapılandırması tam da bunu mümkün kılıyordu.
Bir X hesabı Pazar günü, "EURR ihracı, saldırganın imzalayanlarını değiştirdiği 1/3 çoklu imza uygulamasına (Safe değil) tabi idi" diye yazdı. "Ardından, ikincil piyasalarda satmak üzere yeni EURR transfer etmeye ve basmaya devam ettiler, bu da ikincil piyasada sabitlikten sapmaya yol açtı. StablR'nin daha önce EURR ihracını desteklemek için Tether'in Hadron tokenleştirme platformunu kullandıklarını belirtmiş olmaları dikkat çekicidir."
Kişi şunları ekledi:
"Eğer bu bir istismar ise, MiCA uyumlu bir stabilcoin için bu türden ilk olaydır."
StablR, resmi X hesapları aracılığıyla bu istismarı kabul etse de, yazının yazıldığı tarihte ayrıntılı bir teknik inceleme veya kurtarma zaman çizelgesi mevcut değildi. X'teki topluluk analistleri, gün boyunca 2,8 milyon dolar ile 10,4 milyon dolar arasında değişen kayıp tahminlerini tartıştı. Bu geniş aralık, çıkarılan ethereum (ETH) ile piyasaya sürülen teminatsız tokenlerin toplam nominal değeri arasındaki farkı yansıtıyor.
Olay, sözleşme kodundan ziyade idari kontrolün başarısızlık noktası olduğu stabilcoin ihraççıları arasında görülen bir kalıba uyuyor. Daha yüksek çoklu imza eşikleri, basım işlevlerinde zaman kilitleri, oran sınırları ve anomali tespit sistemleri, stabilcoin ağları için standart risk azaltma önlemleridir.
Avrupa'da faaliyet gösteren stabilcoin ihraççılarına hesap verebilirlik getirmek üzere tasarlanan MiCA düzenleyici çerçevesi, bu saldırıyı önleyecek operasyonel kontrolleri gerektirmiş görünmemektedir. Düzenleyiciler ve denetçiler, bu olayın ardından kilit yönetim standartlarını daha doğrudan ele alma konusunda baskı altında kalabilirler.
EURR ve USDR sahipleri, teminatsız arzın planlanan yakılması, rezerv ikmali veya tazminatla ilgili güncellemeler için StablR'nin resmi kanallarını takip etmelidir. USDT ve USDC dahil olmak üzere başlıca ABD doları sabit paraları bu olaydan etkilenmedi.
Daha geniş sabit para piyasası, bu olayı önemli bir yayılma olmaksızın atlattı, ancak StablR olayı, kod güvenlik açıklarından ziyade yönetişim hataları nedeniyle sabitlik kontrolünü kaybeden küçük ve bölgesel odaklı ihraççıların giderek artan sayısına bir yenisini ekledi.
