StablR, một đơn vị phát hành stablecoin có trụ sở tại Malta, đã gặp phải một sự cố bảo mật vào Chủ nhật, sau khi một kẻ tấn công lợi dụng lỗ hổng trong cấu hình đa chữ ký (multisig) để đúc hàng triệu token EURR và USDR không có tài sản đảm bảo, rồi bán tháo chúng trên các sàn giao dịch phi tập trung (DEX).
Stablecoin Euro tuân thủ MiCA mất neo xuống mức 0,85 USD sau khi một trong ba ví đa chữ ký bị khai thác, dẫn đến việc hàng triệu USD bị rút cạn
TÁC GIẢ
CHIA SẺ
Điểm chính
- Giá EURR của StablR đã giảm xuống còn $0.85, và USDR dao động từ $0.40 đến $0.64 vào ngày 24 tháng 5 sau khi các hacker đúc các token không được bảo đảm.
- Theo báo cáo, ngưỡng đa chữ ký 1 trong 3 đã cho phép kẻ tấn công chiếm quyền kiểm soát việc đúc token, rút khoảng $2,8 triệu ETH.
- Các nhà quan sát on-chain đã chỉ ra rằng thiết lập đa chữ ký yếu của StablR là một rủi ro quản trị mà quy định MiCA không ngăn chặn được.
EURR giảm 24% và USDR giảm 37% khi hai đồng stablecoin của StablR mất neo giá sau vụ khai thác lỗ hổng quan trọng
Các báo cáo cho biết vụ vi phạm không xuất phát từ lỗ hổng hợp đồng thông minh. Theo báo cáo, những kẻ tấn công đã có được quyền truy cập vào một khóa riêng duy nhất kiểm soát ví đa chữ ký 1 trong 3 điều khiển chức năng phát hành của StablR. Với một khóa, kẻ tấn công đã loại bỏ những người ký hợp pháp, thêm một địa chỉ được kiểm soát và phát hành token mà không có tài sản thế chấp.
Vào lúc 8:10 sáng theo giờ ET ngày Chủ nhật, StablR đã đề cập đến vấn đề này trên X, tuyên bố:
"Cập nhật bảo mật: Chúng tôi đã xác định được một lỗ hổng ảnh hưởng đến StablR và đang tích cực làm việc để kiểm soát nó và giảm thiểu tác động. Bảo vệ người dùng và tài sản của quý vị là ưu tiên hàng đầu của chúng tôi. Chúng tôi sẽ chia sẻ chi tiết đã được xác minh và các bước tiếp theo sớm nhất có thể."
Các nhà phân tích on-chain ước tính kẻ tấn công đã đúc khoảng 8,35 triệu USDR và 4,5 triệu EURR trước khi bán chúng trên các cặp giao dịch DEX có thanh khoản thấp. Giá trị bị rút ra được báo cáo là khoảng 1.115 ETH, tương đương khoảng $2,8 triệu, mặc dù tổng số token phát hành không có tài sản đảm bảo có thể đã lên tới $10,4 triệu.
Áp lực bán đã nhanh chóng phá vỡ cả hai mức neo giá. EURR giảm xuống $0.85, giảm gần 24%. USDR tiếp tục giảm, giao dịch ở mức $0.64, giảm gần 36% so với đầu năm. USDR chạm mức thấp nhất trong ngày là $0.40. Cả hai token cũng giảm mạnh so với đồng USD, Bitcoin và Ethereum.
StablR quảng bá EURR là một stablecoin neo giá với euro và USDR là một token neo giá với đồng đô la Mỹ, cả hai đều được định vị là các công cụ được quy định theo khung pháp lý Markets in Crypto-Assets (MiCA) của Liên minh Châu Âu, kèm theo các thông tin công bố về chứng minh dự trữ. Công ty này kết nối thị trường tài chính truyền thống với thị trường tài chính phi tập trung.
Công ty an ninh Blockaid đã công khai cảnh báo về sự cố này, mô tả ngưỡng 1/3 là "sự thất bại trong quản lý và quản trị". Nhiều nhà quan sát nhận định rằng một khóa bị xâm phạm không nên có quyền phát hành tiền tệ, nhưng cấu hình của StablR được cho là đã cho phép điều đó.
“Việc phát hành EURR được kiểm soát bởi một cơ chế đa chữ ký 1/3 (không an toàn), trong đó những người ký tên đã bị kẻ tấn công thay thế,” một tài khoản X viết vào Chủ nhật. “Sau đó, họ tiếp tục chuyển và đúc EURR mới để bán trên thị trường thứ cấp, dẫn đến việc đồng tiền này mất giá so với đồng euro trên thị trường thứ cấp. Đáng chú ý là StablR trước đây đã tuyên bố họ sử dụng nền tảng token hóa Hadron của Tether để hỗ trợ việc phát hành EURR.”
Người này bổ sung:
“Nếu đây là một vụ khai thác lỗ hổng, thì đây là vụ đầu tiên thuộc loại này đối với một đồng stablecoin tuân thủ MiCA.”
Mặc dù StablR đã thừa nhận vụ tấn công thông qua các tài khoản X chính thức của mình, nhưng tính đến thời điểm viết bài, vẫn chưa có báo cáo kỹ thuật chi tiết hoặc lộ trình khôi phục nào được công bố. Các nhà phân tích cộng đồng trên X đã tranh luận về ước tính thiệt hại dao động từ $2,8 triệu đến $10,4 triệu trong suốt ngày. Sự chênh lệch lớn này phản ánh sự khác biệt giữa lượng ethereum (ETH) bị rút ra và tổng giá trị danh nghĩa của các token không được bảo đảm được đưa vào thị trường.
Sự cố này phù hợp với mô hình thường thấy ở các nhà phát hành stablecoin, nơi điểm yếu nằm ở kiểm soát hành chính chứ không phải mã hợp đồng. Các biện pháp giảm thiểu tiêu chuẩn cho mạng lưới stablecoin bao gồm ngưỡng đa chữ ký cao hơn, khóa thời gian cho chức năng đúc token, giới hạn tốc độ và hệ thống phát hiện bất thường.
Khung pháp lý MiCA, được thiết kế để tăng cường trách nhiệm giải trình cho các nhà phát hành stablecoin hoạt động tại châu Âu, dường như không yêu cầu các biện pháp kiểm soát vận hành có thể ngăn chặn cuộc tấn công này. Các cơ quan quản lý và kiểm toán có thể phải đối mặt với áp lực phải giải quyết các tiêu chuẩn quản lý cốt lõi một cách trực tiếp hơn sau sự kiện này.
Các chủ sở hữu EURR và USDR nên theo dõi các kênh chính thức của StablR để cập nhật về việc đốt nguồn cung không được bảo đảm, bổ sung dự trữ hoặc bồi thường. Các stablecoin USD lớn, bao gồm USDT và USDC, không bị ảnh hưởng.
Thị trường stablecoin rộng lớn đã hấp thụ sự kiện này mà không có sự lây lan đáng kể, nhưng vụ việc StablR góp phần vào danh sách ngày càng dài các nhà phát hành quy mô nhỏ và tập trung vào khu vực mất kiểm soát neo giá do thất bại trong quản trị thay vì lỗ hổng mã nguồn.
