Exploit StablR powoduje spadek EURR i USDR do $0,88 i $0,70

Atak na stablecoina StablR spowodował oderwanie flagowych tokenów emitenta od pega i szybko zachwiał zaufaniem do projektu opartego na regulowanych, zabezpieczonych stablecoinach. EURR spadł do około 0,88 USD, a USDR do około 0,70 USD po incydencie bezpieczeństwa, który według firmy zajmującej się bezpieczeństwem blockchaina Blockaid rozpoczął się od rzekomego przejęcia klucza prywatnego powiązanego z kontem multisig do mintowania.

Nie chodzi tylko o kradzież. Chodzi o to, jak szybko zaufanie zostało utracone. W przypadku stablecoinów cena zazwyczaj sygnalizuje niezawodność. W tym przypadku rynek zareagował odwrotnie, traktując naruszenie jako bezpośredni test kontroli StablR i jego zdolności do ochrony emisji.

Ta reakcja ma znaczenie, ponieważ StablR pozycjonował EURR i USDR jako regulowane i zabezpieczone aktywa z rezerwami przechowywanymi na wydzielonych rachunkach. Jednak wyprzedaż ujawniła dobrze znane krypto-prawdo: nawet tokeny oparte na rezerwach mogą znaleźć się pod presją, gdy kwestionowane są zarządzanie i bezpieczeństwo kluczy.

Jak doszło do ataku na stablecoina StablR

Blockaid wskazuje na kompromitację klucza prywatnego

Blockaid poinformował, że atakujący mógł przejąć klucz prywatny w koncie multisig do mintowania na Ethereum. Dostęp ten najwyraźniej dał atakującemu wejście do jednej z najbardziej wrażliwych części infrastruktury emitenta: uprawnienia do kontrolowania tworzenia tokenów i administracji.

Atak na stablecoina StablR jest przez Blockaid przedstawiany jako błąd kontroli dostępu, a nie luka w kodzie. To rozróżnienie ma znaczenie, ponieważ przesuwa uwagę z uszkodzonego smart kontraktu na warstwę ludzką i operacyjną stojącą za systemem.

Nieautoryzowane mintowanie i zastąpienie administratorów

Po uzyskaniu dostępu atakujący rzekomo zastąpił administratorów i wybił 8,35 miliona USDR oraz 4,5 miliona EURR. Te nowo utworzone tokeny stały się następnie motorem depeggingu.

W praktyce właśnie dlatego użytkownicy i traderzy zareagowali natychmiast. Nieautoryzowane mintowanie uderza w kluczową obietnicę emitenta stablecoina: że podaż jest kontrolowana, wymienialna i dopasowana do wiarygodnego modelu zabezpieczenia. Gdy to założenie słabnie, rynki zwykle najpierw karzą token, a wyjaśnień szukają później.

Wpływ ataku na stablecoina StablR na rynek

Swapy tokenów i zgłoszony zysk

Blockaid poinformował, że atakujący wymienił tokeny o wartości około 10,4 miliona USD na około 1 115 ETH na zdecentralizowanych giełdach. Atakujący podobno zarobił około 2,8 miliona USD zysku.

Te liczby pomagają wyjaśnić, dlaczego szkody rozprzestrzeniły się tak szybko. Wymuszona konwersja świeżo wybitych tokenów na ETH może uszczuplić już ograniczoną płynność i zwiększyć dyslokacje cenowe. Na cieńszym rynku nawet mniejszy exploit może wywołać nieproporcjonalnie duży ruch.

To jeden z najwyraźniejszych powodów, dla których incydent ma znaczenie dla szerszego sektora stablecoinów. Token może być zabezpieczony na papierze, ale jeśli płynność jest płytka i kontrole zarządzania zawiodą, rynek może nadal traktować go jako kruchy. Jest to szczególnie istotne dla nowszych emitentów próbujących zdobyć zaufanie w dziedzinie zdominowanej przez większe, bardziej sprawdzone w boju nazwy.

Depeg EURR i depeg USDR pogłębiają szkody

Straty cenowe były natychmiastowe. EURR spadł do około 0,88 USD, a USDR do około 0,70 USD.

To umieściło oba tokeny zdecydowanie w strefie depeggingu i pokazało, jak szybko zaufanie może wyparować po kompromitacji klucza multisig. Dla traderów depeg EURR i depeg USDR nie były jedynie izolowanymi ruchami cenowymi. Były sygnałem na żywo, że rynek na nowo ocenia ryzyko operacyjne na poziomie emitenta.

PeckShield również zgłosił dyslokację EURR, zwiększając widoczność zdarzenia, gdy tokeny były notowane poniżej parytetu.

Co Blockaid mówi o tym, co poszło nie tak

Blockaid stwierdził, że incydent był błędem zarządzania i zarządzania kluczami, a nie błędem smart kontraktu.

To rozróżnienie ma wagę daleko wykraczającą poza StablR. W krypto, exploity smart kontraktów często dominują w nagłówkach, ale kompromitacja klucza prywatnego i błędy kontroli administratora mogą być równie szkodliwe. Kompromitacja klucza multisig może ominąć założenia użytkowników dotyczące bezpieczeństwa, zwłaszcza gdy słaby punkt leży na warstwie emitenta, a nie wewnątrz publicznego kontraktu.

Wyostrza to również debatę na temat tego, co „bezpieczny" oznacza dla stablecoinów. Silne rezerwy i pozycjonowanie regulacyjne mogą pomóc w budowaniu wiarygodności, ale nie zastępują ścisłego bezpieczeństwa operacyjnego. Jeśli zarządzanie kluczami zawiedzie, obietnica stabilności może rozpaść się w ciągu kilku godzin.

Co StablR mówi o swoim modelu

Regulowane i zabezpieczone rezerwy pod presją

StablR twierdzi, że jego stablecoiny są regulowane i zabezpieczone, z rezerwami na wydzielonych rachunkach. Tokeny są dostępne na Ethereum i Solana, a projekt zyskał znaczące wsparcie, w tym inwestycję od Tether w grudniu 2024 roku.

To tło sprawia, że incydent jest czymś więcej niż historią o niszowym protokole. Ma miejsce w czasie, gdy stablecoiny zbliżają się do powszechnego użytku finansowego, i rodzi trudniejsze pytanie dla rynku: jak dużą wagę powinni przywiązywać inwestorzy do struktury rezerw, skoro kontrole zarządzania nadal mogą zostać skompromitowane?

Odpowiedź prawdopodobnie ukształtuje sposób oceniania mniejszych emitentów w przyszłości. W miesiącu już naznaczonym szerszą falą exploitów DeFi, atak na stablecoina StablR stanowi kolejne przypomnienie, że stabilność zależy od czegoś więcej niż zabezpieczenie. Zależy również od tego, kto kontroluje klucze, jak podzielone są uprawnienia i czy rynek wierzy, że te zabezpieczenia wytrzymają presję.