StablR har frosset sine stablecoins USDR og EURR, efter at en angriber udnyttede en svaghed i projektets 1-af-3 multisig-tegnebog til at præge $13,5 millioner i udækkede tokens. Angriberen kompromitterede en enkelt nøgle og oprettede tokens, men det faktiske nettooverskud var $2,8 millioner, hvilket tyder på, at StablR's frysning kan have begrænset skaden, men ikke fuldt ud forhindret tab.
Sådan fungerede angrebet
Udnyttelsen rettede sig mod multisig-tegnebogen, der styrer token-prægning. I modsætning til en standardopsætning, der kræver flere underskrifter, tillod StablR's konfiguration en enkelt kompromitteret nøgle at godkende oprettelse af nye tokens. Det gav angriberen mulighed for at præge $13,5 millioner værd af USDR og EURR uden underliggende reserver.
Blockchain-data viser, at angriberen brugte den stjålne nøgle til at generere tokens i en enkelt transaktion. De prægede tokens blev derefter flyttet og delvist hævet, før StablR kunne reagere. Netto-udtrækket på $2,8 millioner indikerer, at angriberen konverterede nogle af de udækkede tokens til andre aktiver eller solgte dem ud.
StablR's reaktion
Efter at have opdaget bruddet, frøs StablR begge stablecoins, hvilket forhindrede yderligere bevægelse af de resterende prægede tokens. Frysningen gælder de $13,5 millioner i udækkede tokens, men de $2,8 millioner, der allerede er taget, er sandsynligvis uden for rækkevidde. Virksomheden har ikke oplyst, om den vil forsøge at hente disse midler tilbage eller kompensere berørte brugere.
Hændelsen fremhæver en kendt risiko ved multisig-tegnebøger med lave tærskelkrav. Sikkerhedseksperter har længe advaret om, at en 1-af-3 opsætning giver ringe beskyttelse, hvis en enkelt nøgle bliver eksponeret. StablR har ikke kommenteret, om de vil opgradere deres sikkerhedsarkitektur.
Hvad er næste skridt for stablecoinsene?
USDR og EURR forbliver frosne. StablR har ikke fastsat en dato for at tø dem op eller annonceret en plan for indløsning af de legitime tokens. Brugere, der holder stablecoins, sidder fast, indtil virksomheden løser situationen. Tilsynsmyndigheden eller efterforskere kan også gribe ind, selvom der ikke er rapporteret om nogen officiel handling.
Det tilbagevendende spørgsmål er, hvordan StablR vil håndtere hullet på $2,8 millioner. Hvis reserverne er utilstrækkelige, kan stablecoinsene miste deres binding permanent og skade tilliden til projektet. Foreløbig køber frysningen tid, men den løser ikke det underliggende underskud.
