StablR ha congelato le sue stablecoin USDR ed EURR dopo che un attaccante ha sfruttato una debolezza nel portafoglio multisig 1 su 3 del progetto per coniare token non garantiti per un valore di 13,5 milioni di dollari. L'attaccante ha compromesso una singola chiave e creato i token, anche se il guadagno netto effettivo è stato di 2,8 milioni di dollari, suggerendo che il congelamento di StablR potrebbe aver limitato il danno ma non prevenuto completamente le perdite.
Come ha funzionato l'attacco
L'exploit ha preso di mira il portafoglio multisig che controlla il conio dei token. A differenza di una configurazione standard che richiede più firme, la configurazione di StablR consentiva a una singola chiave compromessa di autorizzare la creazione di nuovi token. Ciò ha dato all'attaccante la capacità di coniare token USDR ed EURR per un valore di 13,5 milioni di dollari senza riserve di copertura.
I dati blockchain mostrano che l'attaccante ha utilizzato la chiave rubata per generare i token in una singola transazione. I token coniati sono stati poi spostati e parzialmente incassati prima che StablR potesse reagire. L'estrazione netta di 2,8 milioni di dollari indica che l'attaccante ha convertito alcuni dei token non garantiti in altri asset o li ha prelevati.
Risposta di StablR
Dopo aver scoperto la violazione, StablR ha congelato entrambe le stablecoin, impedendo ulteriori movimenti dei token coniati rimanenti. Il congelamento si applica ai 13,5 milioni di dollari in token non garantiti, ma i 2,8 milioni di dollari già prelevati sono probabilmente irrecuperabili. L'azienda non ha rivelato se tenterà di recuperare quei fondi o di rimborsare gli utenti colpiti.
L'incidente evidenzia un rischio noto dei portafogli multisig con requisiti di soglia bassi. Gli esperti di sicurezza hanno a lungo avvertito che una configurazione 1 su 3 offre poca protezione se una singola chiave viene esposta. StablR non ha commentato se aggiornerà la propria architettura di sicurezza.
Cosa succederà alle stablecoin
USDR ed EURR rimangono congelate. StablR non ha fissato una data per sbloccarle né annunciato un piano per il riscatto dei token legittimi. Gli utenti che detengono le stablecoin sono bloccati finché l'azienda non risolve la situazione. Potrebbero intervenire anche l'autorità di regolamentazione o gli investigatori, anche se non è stata segnalata alcuna azione ufficiale.
La domanda che resta è come StablR affronterà il buco di 2,8 milioni di dollari. Se le riserve non sono sufficienti, le stablecoin potrebbero perdere definitivamente il loro ancoraggio, danneggiando la fiducia nel progetto. Per ora, il congelamento fa guadagnare tempo, ma non risolve la carenza sottostante.
