Atacul asupra StablR nu este un exploit tehnic complicat al unei vulnerabilități din cod (așa cum se întâmplă adesea cu protocoalele DeFi), ci o criză de gestionare a cheilor.
1. O gaură arhitecturală în setările multisig (Multisig)
Pentru gestionarea emiterii de tokenuri StablR, s-a folosit un portofel multisig. În mod obișnuit, în industrie, o practică normală este schema de tip 3 din 5 sau 4 din 7, când pentru a confirma o tranzacție este necesar consimțământul majorității deținătorilor de chei.
Aici a fost comisă o eroare gravă în logică:
Pentru anumite funcții administrative era necesar un prag de semnături prea scăzut — doar 1/3.
Asta înseamnă că sistemul avea încredere într-o singură adresă aprobată pentru a face modificări radicale în structura de guvernare fără confirmarea celorlalți participanți.
2. Compromiterea cheii private
Hackerul nu a fost nevoit să spargă blockchainul. Cel mai probabil, a avut loc un phishing obișnuit, dar țintit, implantarea de malware sau scurgerea seed phrase-ului unuia dintre dezvoltatorii cheie sau administratorii proiectului.
De îndată ce atacatorul a obținut acces la acest singur portofel, s-a declanșat efectul domino:
Folosind un prag de aprobat scăzut (1/3), el a inițiat singur tranzacția pentru a schimba ceilalți administratori.
Contractul a scris obedient drepturile de administrare pe noi adrese, controlate de hacker.
Echipa proiectului a fost practic "aruncată" din propriul contract, pierzând accesul la acesta.
3. Imprimanta "nelimitată"
Obținând statutul de admin unic, hackerul a invocat pur și simplu funcția de minting și a creat din aer milioane de tokeni USDR și EURR, care nu erau susținuți de nimic, și apoi i-a listat instantaneu pentru vânzare în piscinele de lichiditate.
Concluzie: Protecția blockchainului în sine sau a contractului inteligent de bază ar putea fi ideală, dar dacă cheile admin sunt păstrate neglijent, iar setările de acces permit unui portofel compromis să preia întreaga putere — proiectul este vulnerabil prin definiție. Este o altă lecție dură pentru întreaga industrie că securitatea multi-sig este puternică doar atât cât de puternic este cel mai slab link al său.