2026. gada 24. maijā blokķēdes drošības kompānija Blockaid atklāja aktīvu ekspluatāciju, kas mērķēja uz StablR izsniegšanas sistēmu, izsekojot pārkāpumu privātā atslēgā, kas tika kompromitēta uz minting multisig ar bīstami vāju 1 no 3 parakstu slieksni.
📊 Skaitļos izdarītie zaudējumi:
Uzbrucējs pievienoja savu adresi kā īpašnieku, izslēdza divus likumīgos parakstītājus un turpināja mintot 8.35 miljonus USDR un 4.5 miljonus EURR, apvienotā nominālvērtībā aptuveni $10.4 miljoni pie peg.
Uzbrucējs apmainīja šos svaigi mintotos tokenus decentralizētās biržās pret 1,115 ETH, aptuveni 2.8 miljoni dolāru, jo plānā likviditāte uzsūca lielāko daļu slippage, kas nozīmē, ka uzbrucējs mintoja $10.4M teorētiskā vērtībā, bet realitātē izņēma tikai $2.8M zaudējumus protokolam. (BeInCrypto) EURR sabruka līdz aptuveni $0.88, un USDR nokrita līdz apmēram $0.70, stingri depeg teritorijā dažu minūšu laikā pēc neatļautā minting.
📌 Šis modelis atbilst:
Kompromitēti privātie atslēgas ir kļuvuši par galveno uzbrukuma virzienu 2026. gada DeFi ekspluatācijas viļņa laikā. Volo Vault, Wasabi Perps, Echo Bridge un Polymarket pēdējo divu mēnešu laikā tika skarti ar admin atslēgu ekspluatācijām.
Ko padara StablR izceļamu, ir tās regulatīvā stāvokļa: uzņēmumam ir Elektroniskās naudas iestādes (EMI) licence no Maltas finanšu regulētāja, un tā darbojas saskaņā ar ES MiCA ietvaru, radot neērtu precedentu, kur pilnībā regulēts stablecoin izsniedzējs var atdalīties no dolāra sakarā ar operacionālās drošības kļūmi, nevis regulatīvo trūkumu.
💡 Sākuma stūris Kāpēc 1 no 3 multisig padara stablecoin katastrofāli neaizsargātu?
1 no 3 multisig slieksnis nozīmē, ka viena kompromitēta privātā atslēga piešķir pilnīgu, vienpusēju kontroli pār monētu radīšanu, neprasot konsensu no pārējiem diviem autorizētajiem parakstītājiem, lai izdotu neierobežotus tokenus ar nulles nodrošinājumu.
Blockaid bija skaidrs:
Tas nav viedā līguma bugs, tas ir atslēgu pārvaldības un pārvaldības kļūme. "Šī atšķirība ir svarīga, jo koda bugs var tikt laboti stundās, bet pārvaldības kultūra un atslēgu pārvaldības prakses prasa daudz ilgāku laiku, lai patiesi reformētu visā organizācijā.
💬 Ja MiCA licencēts stablecoin var atdalīties sakarā ar 1 no 3 multisig kļūmi, vai ES regulētājiem būtu jānosaka minimālie multisig sliekšņi, aparatūras drošības moduļi un obligātās atslēgu rotācijas grafiki kā tehniskie licencēšanas nosacījumi, vai operacionālo drošību labāk atstāt izsniedzēja ziņā?
#StablRDepegsAfterAttack #StablecoinSecurity #Ethereum #MiCA #CryptoSecurity
DYOR | Izglītojošs saturs tikai | Ne finanšu padoms