StablR hat seine Stablecoins USDR und EURR eingefroren, nachdem ein Angreifer eine Schwachstelle in der 1-aus-3-Multisig-Wallet des Projekts ausgenutzt hatte, um 13,5 Millionen Dollar an nicht gedeckten Token zu minen. Der Angreifer kompromittierte einen einzelnen Schlüssel und erstellte die Token, wobei der tatsächliche Nettogewinn 2,8 Millionen Dollar betrug, was darauf hindeutet, dass der Freeze von StablR den Schaden möglicherweise begrenzt, die Verluste aber nicht vollständig verhindert hat.
Wie der Angriff ablief
Der Exploit zielte auf die Multisig-Wallet ab, die das Token-Minting kontrolliert. Im Gegensatz zu einer Standardkonfiguration, die mehrere Signaturen erfordert, erlaubte die Konfiguration von StablR einem einzigen kompromittierten Schlüssel, die Erstellung neuer Token zu autorisieren. Das gab dem Angreifer die Möglichkeit, USDR und EURR im Wert von 13,5 Millionen Dollar ohne hinterlegte Reserven zu minen.
Blockchain-Daten zeigen, dass der Angreifer den gestohlenen Schlüssel verwendete, um die Token in einer einzigen Transaktion zu generieren. Die geminten Token wurden dann verschoben und teilweise ausbezahlt, bevor StablR reagieren konnte. Die Nettoentnahme von 2,8 Millionen Dollar deutet darauf hin, dass der Angreifer einige der nicht gedeckten Token in andere Vermögenswerte umwandelte oder in Fiat abfließen ließ.
Die Reaktion von StablR
Nach der Entdeckung des Einbruchs fror StablR beide Stablecoins ein, um eine weitere Bewegung der verbliebenen geminteten Token zu verhindern. Der Freeze betrifft die 13,5 Millionen Dollar an nicht gedeckten Token, aber die bereits abgeflossenen 2,8 Millionen Dollar sind wahrscheinlich nicht wiederzubeschaffen. Das Unternehmen hat nicht bekannt gegeben, ob es versuchen wird, diese Gelder zurückzuholen oder betroffene Nutzer zu entschädigen.
Der Vorfall zeigt ein bekanntes Risiko von Multisig-Wallets mit niedrigen Schwellenwertanforderungen. Sicherheitsexperten haben schon lange gewarnt, dass eine 1-aus-3-Konfiguration wenig Schutz bietet, wenn ein einzelner Schlüssel offengelegt wird. StablR hat sich nicht dazu geäußert, ob es seine Sicherheitsarchitektur aufrüsten wird.
Was als Nächstes für die Stablecoins passiert
USDR und EURR bleiben eingefroren. StablR hat weder ein Datum für das Auftauen festgelegt noch einen Plan für die Rücknahme der legitimen Token angekündigt. Nutzer, die die Stablecoins halten, sitzen fest, bis das Unternehmen die Situation löst. Die Aufsichtsbehörde oder Ermittler könnten ebenfalls eingreifen, obwohl noch keine offiziellen Maßnahmen gemeldet wurden.
Die bleibende Frage ist, wie StablR die Lücke von 2,8 Millionen Dollar schließen wird. Wenn die Reserven nicht ausreichen, könnten die Stablecoins dauerhaft ihre Bindung verlieren, was das Vertrauen in das Projekt schädigen würde. Im Moment verschafft der Freeze Zeit, aber er löst das zugrunde liegende Defizit nicht.
