StablR a gelé ses stablecoins USDR et EURR après qu'un attaquant a exploité une faiblesse du portefeuille multisig 1-sur-3 du projet pour émettre 13,5 millions de dollars en jetons non adossés. L'attaquant a compromis une seule clé et créé les jetons, bien que le gain net réel soit de 2,8 millions de dollars, ce qui suggère que le gel de StablR a peut-être limité les dégâts mais n'a pas complètement évité les pertes.
Comment l'attaque a fonctionné
L'exploitation ciblait le portefeuille multisig qui contrôle l'émission des jetons. Contrairement à une configuration standard nécessitant plusieurs signatures, la configuration de StablR permettait à une seule clé compromise d'autoriser la création de nouveaux jetons. Cela a donné à l'attaquant la capacité d'émettre 13,5 millions de dollars en USDR et EURR sans réserves de couverture.
Les données de la blockchain montrent que l'attaquant a utilisé la clé volée pour générer les jetons en une seule transaction. Les jetons émis ont ensuite été déplacés et partiellement convertis en d'autres actifs ou retirés de la plateforme avant que StablR ne puisse réagir. Le retrait net de 2,8 millions de dollars indique que l'attaquant a converti certains jetons non adossés en d'autres actifs ou les a échangés contre de la monnaie fiduciaire.
La réponse de StablR
Après avoir découvert la violation, StablR a gelé les deux stablecoins, empêchant tout mouvement supplémentaire des jetons émis restants. Le gel s'applique aux 13,5 millions de dollars en jetons non adossés, mais les 2,8 millions de dollars déjà retirés sont probablement irrécupérables. L'entreprise n'a pas divulgué si elle tentera de récupérer ces fonds ou de rembourser les utilisateurs concernés.
L'incident met en évidence un risque connu des portefeuilles multisig avec des exigences de seuil bas. Les experts en sécurité ont longtemps averti qu'une configuration 1-sur-3 offre peu de protection si une seule clé est compromise. StablR n'a pas commenté la possibilité d'améliorer son architecture de sécurité.
Quelle est la suite pour les stablecoins
USDR et EURR restent gelés. StablR n'a pas fixé de date pour les dégeler ni annoncé de plan pour le remboursement des jetons légitimes. Les détenteurs de stablecoins sont bloqués jusqu'à ce que l'entreprise résolve la situation. Le régulateur ou les enquêteurs pourraient également intervenir, bien qu'aucune action officielle n'ait été signalée.
La question persistante est de savoir comment StablR comblera le déficit de 2,8 millions de dollars. Si les réserves sont insuffisantes, les stablecoins pourraient perdre leur ancrage de manière permanente, nuisant à la confiance dans le projet. Pour l'instant, le gel permet de gagner du temps, mais ne résout pas le déficit sous-jacent.
