Эксплойт стейблкоина StablR обвалил EURR и USDR до 0,88$ и 0,70$

Эксплойт стейблкоина StablR вывел флагманские токены эмитента за пределы привязки и быстро подорвал доверие к проекту, построенному на основе регулируемых залоговых стейблкоинов. EURR упал примерно до 0,88$, а USDR снизился приблизительно до 0,70$ после инцидента безопасности, который, по данным компании по безопасности блокчейна Blockaid, начался с предполагаемой компрометации приватного ключа, связанного с мультисиг-аккаунтом для минтинга.

Выделяется не только сам факт кражи. Поразительна скорость, с которой было утрачено доверие. В случае со стейблкоинами цена обычно сигнализирует о надёжности. В данном случае рынок отреагировал противоположным образом, восприняв взлом как прямую проверку средств контроля StablR и его способности защитить эмиссию.

Эта реакция важна, поскольку StablR позиционировал EURR и USDR как регулируемые залоговые активы с резервами на сегрегированных счетах. Однако распродажа обнажила знакомую крипто-истину: даже токены, обеспеченные резервами, могут оказаться под давлением, когда под сомнение ставятся управление и безопасность ключей.

Как произошёл эксплойт стейблкоина StablR

Blockaid указывает на компрометацию приватного ключа

Blockaid сообщил, что злоумышленник мог скомпрометировать приватный ключ в мультисиг-аккаунте для минтинга на блокчейне Ethereum. По всей видимости, этот доступ открыл злоумышленнику путь к одной из наиболее чувствительных частей инфраструктуры эмитента: полномочиям по управлению созданием токенов и администрированием.

Эксплойт стейблкоина StablR трактуется Blockaid как сбой контроля доступа, а не уязвимость в коде. Это разграничение важно, поскольку оно смещает внимание с уязвимого смарт-контракта на человеческий и операционный уровень, лежащий в основе системы.

Несанкционированный минтинг и замена администраторов

Получив доступ, злоумышленник предположительно заменил администраторов и выпустил 8,35 млн USDR и 4,5 млн EURR. Эти вновь созданные токены и стали движущей силой отвязки от привязки.

На практике именно поэтому пользователи и трейдеры отреагировали незамедлительно. Несанкционированный минтинг бьёт по основному обещанию эмитента стейблкоина: что предложение контролируется, подлежит погашению и соответствует достоверной модели обеспечения. Как только это допущение ослабевает, рынки склонны наказывать токен первым, а уже потом ждать объяснений.

Рыночное воздействие эксплойта стейблкоина StablR

Своп токенов и заявленная прибыль

Blockaid сообщил, что злоумышленник обменял токены стоимостью примерно 10,4 млн$ на около 1 115 ETH на децентрализованных биржах. По имеющимся данным, злоумышленник получил около 2,8 млн$ прибыли.

Эти цифры помогают понять, почему ущерб распространился так быстро. Принудительная конвертация свежевыпущенных токенов в ETH способна истощить и без того ограниченную ликвидность и усилить ценовые дислокации. На менее ликвидном рынке даже небольшой эксплойт может спровоцировать непропорционально сильное движение.

Это одна из наиболее очевидных причин, по которым инцидент важен для более широкого сектора стейблкоинов. Токен может быть обеспечен залогом на бумаге, но если ликвидность невелика и средства управления дают сбой, рынок всё равно может счесть его нестабильным. Это особенно актуально для более новых эмитентов, стремящихся завоевать доверие на поле, где доминируют более крупные и проверенные временем игроки.

Депег EURR и депег USDR усугубляют ущерб

Ценовой ущерб оказался немедленным. EURR упал примерно до 0,88$, а USDR снизился примерно до 0,70$.

Это вывело оба токена в зону депега и показало, насколько быстро доверие может испариться после компрометации мультисиг-ключа. Для трейдеров депег EURR и депег USDR были не просто изолированными ценовыми движениями. Это был живой сигнал того, что рынок переоценивает операционный риск на уровне эмитента.

PeckShield также отметил дислокацию EURR, увеличив видимость события по мере того, как токены торговались ниже паритета.

Что, по мнению Blockaid, пошло не так

Blockaid заявил, что инцидент стал следствием сбоя в управлении и работе с ключами, а не ошибкой в смарт-контракте.

Это разграничение имеет значение далеко за пределами StablR. В криптовалютной сфере эксплойты смарт-контрактов нередко доминируют в заголовках, однако компрометация приватных ключей и сбои контроля доступа администраторов могут быть столь же разрушительными. Компрометация мультисиг-ключа способна обойти допущения пользователей о безопасности, особенно когда уязвимое место находится на уровне эмитента, а не внутри публичного контракта.

Это также обостряет дискуссию о том, что означает «безопасность» применительно к стейблкоинам. Сильные резервы и регуляторное позиционирование могут способствовать установлению доверия, однако они не заменяют строгую операционную безопасность. Если управление ключами даёт сбой, обещание стабильности может рухнуть за несколько часов.

Что StablR говорит о своей модели

Регулируемые и обеспеченные залогом резервы под давлением

StablR утверждает, что его стейблкоины регулируются и обеспечены залогом, а резервы хранятся на сегрегированных счетах. Токены доступны на блокчейне Ethereum и Solana, и проект привлёк заметную поддержку, в том числе инвестиции от Tether в декабре 2024 года.

Этот контекст делает инцидент чем-то большим, нежели историей о нишевом протоколе. Он происходит в то время, когда стейблкоины всё ближе подходят к массовому финансовому применению, и ставит перед рынком более сложный вопрос: насколько инвесторы должны полагаться на структуру резервов, если средства управления всё равно могут быть скомпрометированы?

Ответ, вероятно, определит, как в дальнейшем будут оцениваться более мелкие эмитенты. В месяц, уже отмеченный широкой волной DeFi-эксплойтов, эксплойт стейблкоина StablR служит ещё одним напоминанием о том, что стабильность зависит не только от залогового обеспечения. Она также зависит от того, кто контролирует ключи, как распределены полномочия и верит ли рынок в то, что эти защитные меры выдержат давление.