Эмитент стейблкоинов StablR заморозил свои токены USDR и EURR после того, как злоумышленник, используя уязвимость в мультиподписи, сгенерировал $13,5 миллиона необеспеченных токенов. Атакующему удалось вывести чистую прибыль в размере $2,8 миллиона, что стало серьезным ударом по доверию к протоколам, использующим упрощенные схемы управления ключами.
Почему схема 1-из-3 оказалась фатальной
Причиной инцидента стала компрометация ключа в схеме мультиподписи (multisig) формата 1-из-3. Это означает, что для совершения операции требовалась подпись всего одного из трех держателей ключей, что критически снижает уровень безопасности. Атакующий получил доступ к одному из ключей и использовал его для несанкционированной эмиссии токенов. В результате на рынке появились $13,5 миллиона фиктивных USDR и EURR, не подкрепленных реальными резервами.
Напомним, что накануне эксплойт StablR на $2,8 млн уже приводил к временной потере привязки стейблкоинов.
Инцидент с StablR — очередное напоминание о рисках, связанных с мультиподписями с низким порогом согласования.
Заморозка токенов и попытка спасти активы
Команда проекта оперативно отреагировала на атаку, заморозив все пострадавшие токены. Однако злоумышленнику удалось вывести часть средств: его чистая прибыль составила $2,8 миллиона. Детали того, как именно были выведены средства и какие меры принимаются для возврата активов, пока не раскрываются. Скорее всего, проект проведет внутреннее расследование и, возможно, обратится к правоохранительным органам.
Атака на StablR — это не взлом смарт-контракта, а прямая компрометация системы управления ключами.
Урок для всей индустрии: мультиподписи под прицелом
Схемы мультиподписи (multisig) широко используются в криптоиндустрии для управления средствами и контроля доступа к протоколам. Однако конфигурация 1-из-3 считается одной из самых слабых, так как для злоумышленника достаточно скомпрометировать всего один ключ. Этот случай вновь поднимает вопрос о стандартах безопасности для эмитентов стейблкоинов. Инвесторы все чаще обращают внимание на архитектуру управления ключами, и инциденты, подобные этому, могут привести к пересмотру требований к подобным проектам со стороны регулирующих органов.
В ближайшее время стоит ожидать от команды StablR подробного отчета о взломе и плана компенсации пострадавших держателей токенов. Сможет ли проект восстановить доверие без четкого плана действий — или репутация будет подорвана окончательно?