У неділю емітент стейблкоінів StablR, що базується на Мальті, зазнав інциденту з порушенням безпеки: зловмисник скористався недоліками в налаштуваннях мультипідпису, щоб випустити мільйони токенів EURR та USDR без реального забезпечення та скинути їх на децентралізовані біржі (DEX).
Євро-стейблкоін, що відповідає вимогам MiCA, втратив прив’язку до долара і впав до 0,85 долара після того, як через зловживання в системі мультипідпису (1 з 3) було викрадено мільйони
АВТОР
ПОДІЛИТИСЯ
Основні висновки
- 24 травня курс EURR від StablR впав до 0,85 долара, а USDR — до 0,40–0,64 долара після того, як зловмисники випустили токени без забезпечення.
- Як повідомляється, поріг мультипідпису «1 з 3» дозволив зловмисникам захопити контроль над випуском, вивівши приблизно 2,8 млн доларів в ETH.
- Спостерігачі за ланцюгом позначили нібито слабку конфігурацію мультипідпису StablR як ризик управління, якого не запобігло регулювання MiCA.
EURR впав на 24%, а USDR — на 37% після того, як дві стейблкоіни StablR втратили прив'язку до долара внаслідок серйозної уразливості
Згідно з повідомленнями, злом не був пов'язаний з недоліком смарт-контракту. Як повідомляється, зловмисники отримали доступ до одного приватного ключа, що контролював гаманець з мультипідписом 1 з 3, який керував функцією випуску StablR. Маючи один ключ, зловмисник видалив законних підписантів, додав контрольовану адресу та випустив токени без забезпечення.
О 8:10 ранку за східним часом у неділю StablR відреагував на проблему в X, заявивши:
«Оновлення безпеки: ми виявили уразливість, що впливає на StablR, і активно працюємо над її усуненням та мінімізацією наслідків. Захист наших користувачів та ваших коштів є нашим головним пріоритетом. Ми поділимося перевіреними деталями та наступними кроками якомога швидше».
Аналітики Onchain оцінили, що зловмисник випустив приблизно 8,35 млн USDR та 4,5 млн EURR, перш ніж продати їх через торгові пари DEX з низькою ліквідністю. За повідомленнями, вилучена сума склала приблизно 1 115 ETH, що еквівалентно приблизно 2,8 млн доларів, хоча загальний обсяг випуску токенів без забезпечення міг сягнути 10,4 млн доларів.
Тиск з боку продавців швидко зламав обидва прив'язки. EURR впав до 0,85 долара, знизившись майже на 24%. USDR впав ще більше, торгуючись на рівні 0,64 долара, що становить падіння майже на 36% з початку року. USDR досяг внутрішньоденного мінімуму в 0,40 долара. Обидва токени також різко впали відносно долара США, біткойна та ефіріума.
StablR позиціонує EURR як стейблкоін, прив'язаний до євро, а USDR — як токен, прив'язаний до долара; обидва позиціонуються як регульовані інструменти в рамках директиви Європейського Союзу про ринки криптоактивів (MiCA) з розкриттям інформації про резерви. Компанія є мостом між традиційними фінансовими ринками та ринками децентралізованих фінансів.
Компанія з безпеки Blockaid публічно повідомила про інцидент, описавши поріг «1 з 3» як «ключову помилку в управлінні та адмініструванні». Багато спостерігачів зазначили, що один скомпрометований ключ не повинен мати повноважень для емісії валюти, проте, як стверджується, конфігурація StablR саме це і дозволяла.
«Випуск EURR контролювався реалізацією мультипідпису 1/3 (не Safe), підписувачів якої замінив імовірний зловмисник», — написав у неділю один з користувачів X. «Потім вони продовжували переказувати та карбувати нові EURR для продажу на вторинних ринках, що призвело до відхилення від прив’язки на вторинному ринку. Варто зазначити, що StablR раніше заявляла, що використовує платформу токенізації Hadron від Tether для випуску EURR».
Ця особа додала:
«Якщо це експлойт, то це перший випадок такого роду для стейблкоіну, що відповідає вимогам MiCA».
Хоча StablR визнала експлойт через свої офіційні акаунти в X, на момент написання статті не було доступно детального технічного аналізу або графіку відновлення. Аналітики спільноти в X протягом дня обговорювали оцінки збитків, що коливалися від 2,8 до 10,4 мільйона доларів. Такий широкий діапазон відображає різницю між вилученим ефіріумом (ETH) та загальною номінальною вартістю непідкріплених токенів, випущених на ринок.
Цей інцидент відповідає закономірності, що спостерігається серед емітентів стейблкоінів, де причиною збою є адміністративний контроль, а не код контракту. Вищі пороги мультипідпису, часові блокування функцій випуску, обмеження швидкості та системи виявлення аномалій є стандартними заходами для мереж стейблкоінів.
Регуляторна база MiCA, розроблена для забезпечення підзвітності емітентів стейблкоінів, що працюють у Європі, судячи з усього, не передбачала операційних заходів контролю, які б запобігли цій атаці. Після цього інциденту регулятори та аудитори можуть зіткнутися з тиском щодо більш прямого дотримання ключових стандартів управління.
Власники EURR та USDR повинні стежити за офіційними каналами StablR, щоб отримувати оновлення щодо будь-якого запланованого спалення незабезпеченого запасу, поповнення резервів або компенсації. Основні стейблкоіни, прив'язані до долара США, включаючи USDT та USDC, не зазнали впливу.
Ринок стейблкоінів загалом переніс цю подію без значного поширення наслідків, але інцидент із StablR поповнює зростаючий список дрібних та регіонально орієнтованих емітентів, які втрачають контроль над прив'язкою через провали в управлінні, а не через вразливості коду.
