StablR, projenin 1-of-3 çok imzalı cüzdanındaki bir zafiyetten yararlanan bir saldırganın desteksiz 13,5 milyon dolarlık token basmasına neden olduktan sonra USDR ve EURR stablecoin'lerini dondurdu. Saldırgan tek bir anahtarı ele geçirdi ve tokenleri oluşturdu; ancak gerçek net kazanç 2,8 milyon dolar oldu. Bu durum, StablR'in dondurma kararı zararı kısmen sınırlamış olmasına rağmen tamamen engelleyememiş olabilir.
Saldırı Nasıl Gerçekleşti
Saldırı, token basımını kontrol eden çok imzalı cüzdanı hedef aldı. Birden fazla imza gerektiren standart bir yapıdan farklı olarak, StablR'in yapılandırması tek bir anahtarın ele geçirilmesi durumunda yeni token oluşturma yetkisine sahip olmasını sağlıyordu. Bu, saldırganın rezervlerle desteklenmeyen 13,5 milyon dolarlık USDR ve EURR basmasına olanak tanıyordu.
Blok zinciri verileri, saldırganın çalınan anahtarı kullanarak tokenleri tek bir işlemde oluşturduğunu gösteriyor. Basılan tokenler, StablR tepki verebilmeden önce hareket ettirildi ve kısmen nakde çevrildi. 2,8 milyon dolarlık net çekim, saldırganın desteksiz tokenlerin bir kısmını diğer varlıklara dönüştürdüğünü veya dışarı çıkardığını gösteriyor.
StablR'in Yanıtı
İhlali tespit ettikten sonra StablR, kalan basılmış tokenlerin daha fazla hareket etmesini engellemek için her iki stablecoini de dondurdu. Dondurma kararı, desteksiz 13,5 milyon dolarlık tokenlere uygulanmakta; ancak zaten alınmış olan 2,8 milyon doların geri alınması muhtemelen mümkün değildir. Şirket, bu fonları geri almaya çalışıp çalışmayacağı ya da etkilenen kullanıcıları tazmin edip etmeyeceği konusunda herhangi bir açıklama yapmadı.
Bu olay, düşük eşik gereksinimli çok imzalı cüzdanların bilinen bir riskini ortaya koyuyor. Güvenlik uzmanları, tek bir anahtarın ortaya çıkması durumunda 1-of-3 yapılandırmasının çok az koruma sağladığını uzun süredir uyarıyor. StablR, güvenlik mimarisini güncelleyip güncellemeyeceği konusunda herhangi bir yorum yapmadı.
Stablecoin'ler İçin Sonraki Adımlar
USDR ve EURR dondurulmuş durumda. StablR, tokenlerin dondurulmasını kaldırma tarihini belirlemedi veya meşru tokenlerin geri alınması için bir plan açıklamadı. Stablecoin tutan kullanıcılar, şirket durumu çözünceye kadar beklemek zorunda. Düzenleyici kurumlar veya soruşturmacılar da devreye girebilir; ancak henüz resmi bir eylem bildirilmedi.
Kalan soru, StablR'in 2,8 milyon dolarlık açığı nasıl kapatacağıdır. Rezervler yetersiz kalırsa, stablecoin'ler kalıcı olarak dengesini kaybedebilir ve projeye olan güven zarar görebilir. Şimdilik dondurma kararı zaman kazandırıyor, ancak temel eksikliği çözmemektedir.
