A StablR congelou suas stablecoins USDR e EURR após um atacante explorar uma vulnerabilidade na carteira multisig 1-de-3 do projeto para cunhar $13,5 milhões em tokens sem reserva. O atacante comprometeu uma única chave e criou os tokens, embora o ganho líquido real tenha sido de $2,8 milhões, sugerindo que o congelamento da StablR pode ter limitado os danos, mas não evitado totalmente as perdas.
Como o ataque funcionou
A exploração visou a carteira multisig que controla a cunhagem de tokens. Diferentemente de uma configuração padrão que exige múltiplas assinaturas, a configuração da StablR permitiu que uma única chave comprometida autorizasse a criação de novos tokens. Isso concedeu ao atacante a capacidade de cunhar USDR e EURR no valor de $13,5 milhões sem reservas correspondentes.
Dados da blockchain mostram que o atacante usou a chave roubada para gerar os tokens em uma única transação. Os tokens cunhados foram então movidos e parcialmente convertidos em outras moedas antes que a StablR pudesse reagir. A extração líquida de $2,8 milhões indica que o atacante converteu parte dos tokens sem reserva em outros ativos ou os retirou do ecossistema.
Resposta da StablR
Após descobrir a violação, a StablR congelou ambas as stablecoins, impedindo o movimento adicional dos tokens cunhados restantes. O congelamento se aplica aos $13,5 milhões em tokens sem reserva, mas os $2,8 milhões já retirados provavelmente não poderão ser recuperados. A empresa não divulgou se tentará recuperar esses fundos ou reembolsar os usuários afetados.
O incidente destaca um risco conhecido de carteiras multisig com requisitos de limite baixos. Especialistas em segurança há muito alertam que uma configuração 1-de-3 oferece pouca proteção se uma única chave for exposta. A StablR não comentou se irá atualizar sua arquitetura de segurança.
O que vem a seguir para as stablecoins
USDR e EURR permanecem congeladas. A StablR não estabeleceu uma data para descongelá-las nem anunciou um plano para resgatar os tokens legítimos. Os usuários que possuem as stablecoins estão parados até que a empresa resolva a situação. O regulador ou investigadores também podem intervir, embora nenhuma ação oficial tenha sido relatada.
A questão pendente é como a StablR lidará com a lacuna de $2,8 milhões. Se as reservas forem insuficientes, as stablecoins podem perder seu lastro permanentemente, prejudicando a confiança no projeto. Por enquanto, o congelamento ganha tempo, mas não resolve a deficiência subjacente.
