StablR ka ngelur stablecoin-et e saj USDR dhe EURR pasi një sulmues ka eksploatuar një dobësi në portofolin multisig 1-of-3 të projektit për të mintuar $13.5 milion në token pa rezerva. Sulmuesi ka komprometuar një çelës të vetëm dhe ka krijuar tokenët, megjithëse fitimi neto aktual ishte $2.8 milion, duke treguar se ngelja e StablR mund të ketë kufizuar dëmin por jo parandaluar plotësisht humbjet.
Si ka punuar sulmi
Eksploitimi ka synuar portofolin multisig që kontrollon mintimin e tokenëve. Ndërsa në një vendosje standard kërkohet më shumë nënshkrimesh, konfigurimi i StablR lejoi që një çelës i komprometuar të autorizonte krijimin e tokenëve të rinj. Kjo i dha sulmuesit mundësinë të mintojë $13.5 milion në vlerë USDR dhe EURR pa rezerva.
Të dhënat blockchain tregojnë se sulmuesi përdori çelësin e vjedhur për të gjeneruar tokenët në një transaksion të vetëm. Tokenët e mintuara më pas u lëvizën dhe pjesërisht u shndërruan në para para se StablR të reagojë. Ekstrakimi neto i $2.8 milion tregon se sulmuesi ka shndërruar disa nga tokenët pa rezerva në asete të tjera ose i ka larguar nga sistemi.
Përgjigjja e StablR
Pas zbulimit të shkeljes, StablR ngeli të dy stablecoin-et, duke parandaluar lëvizjen e mëtejshme të tokenëve të mbetur të mintuar. Ngelja aplikohet për $13.5 milionin në token pa rezerva, por $2.8 miliont e marrë më parë janë më së shumti jashtë kthimit. Kompania nuk ka zbuluar nëse do të përpiqet të kthejë ato fonde ose të kompensojë përdoruesit të prekur.
Rastja thekson një rrezik të njohur të portofoleve multisig me kërkesa të ulëta të pragu. Ekspertët e sigurisë kanë paralajmëruar që një setup 1-of-3 ofron mbrojtje të pakë, nëse ekspozohet një çelës i vetëm. StablR nuk ka komentuar nëse do të përmirësojë arkitekturën e sigurisë së saj.
Çfarë vijon për stablecoin-et
USDR dhe EURR mbeten të ngelura. StablR nuk ka caktuar një datë për të shkëlqyer ato ose nuk ka njoftuar një plan për të rimarrë tokenët e ligjshëm. Përdoruesit që mbajnë stablecoin-et janë të bllokuar derisa kompania zgjidh situatën. Regulatori ose hetuesit mund të hyjnë edhe ata në veprim, megjithëse asnjë veprim zyrtar nuk është raportuar.
Pyetja që mbetet është si do të trajtojë StablR hapësirën e $2.8 milionit. Nëse rezervat janë të pakta, stablecoin-et mund të humbin pegun përherë, duke dëmtuar besimin në projekt. Për tani, ngelja blen kohë, por nuk zgjidh mungesën bazë.
