StablRは、攻撃者がプロジェクトの3名中1名の署名で実行可能なマルチシグウォレットの脆弱性を悪用し、1350万ドル相当の無担保トークンを不正発行したことを受け、ステーブルコインUSDRとEURRを凍結した。攻撃者は1つの秘密鍵を侵害してトークンを生成したが、実際の不正取得額は280万ドルにとどまっており、StablRの凍結措置によって被害の拡大は防がれたものの、損失を完全には防げなかった可能性がある。
攻撃の仕組み
今回の脆弱性は、トークン発行を制御するマルチシグウォレットを標的にしたものだ。通常は複数の署名を必要とする設定とは異なり、StablRの構成では侵害された1つの鍵で新しいトークンの作成が承認されてしまう。このため攻撃者は、準備金を裏付けとしない1350万ドル相当のUSDRとEURRを発行できた。
ブロックチェーンデータによると、攻撃者は盗んだ鍵を使用して1回のトランザクションでトークンを生成した。生成されたトークンはその後移動され、StablRが対応する前に一部が換金された。280万ドルの純不正取得額は、攻撃者が無担保トークンの一部を他の資産に交換するか、オフランプしたことを示している。
StablRの対応
不正侵入の発覚後、StablRは両方のステーブルコインを凍結し、残りの不正発行トークンのさらなる移動を防止した。凍結は1350万ドルの無担保トークンに適用されているが、既に引き出された280万ドルはおそらく回収不可能である。同社は、これらの資金を取り戻す試みや影響を受けたユーザーへの補償を行うかどうかを明らかにしていない。
今回のインシデントは、閾値要件が低いマルチシグウォレットの既知のリスクを浮き彫りにしている。セキュリティ専門家は以前から、3名中1名の署名で実行可能な設定では、1つの鍵が漏洩した場合にほとんど保護機能を果たさないと警告していた。StablRはセキュリティアーキテクチャを改善するかどうかについてコメントしていない。
ステーブルコインの今後の見通し
USDRとEURRは現在も凍結されたままである。StablRは凍結解除の日程や、正当なトークンの交換計画を発表していない。これらのステーブルコインを保有するユーザーは、同社が状況を解決するまで身動きが取れない。規制当局や調査機関が介入する可能性もあるが、現時点では公式な動きは報告されていない。
残された課題は、StablRが280万ドルの資金不足にどう対処するかである。準備金が不十分であれば、ステーブルコインのペッグが恒久的に解除され、プロジェクトへの信頼が損なわれる恐れがある。現時点では、凍結措置によって時間は稼げているものの、根本的な資金不足は解消されていない。
