StablR-hyökkäys irrotti euro-stablecoinin pegistä – MiCA-lisensoitu liikkeellelaskija menetti avaimensa
- StablR:n 1-of-3 mintauksen multisigistä kompromittoitui yksi avain.
- Hyökkääjä minttasi 8,35 M USDR:ää ja 4,5 M EURR:ää ilman vastinetta.
- EURR:n DEX-pohja painui 0,45 dollariin ja USDR:n noin 0,23 dollariin.
- Reservit säilyivät koskemattomina, mutta MiCA ei sääntele toiminnallista turvallisuutta.
Maltan StablR menetti yhden kolmesta multisig-avaimestaan, ja hyökkääjä loi tyhjästä 8,35 miljoonaa USDR:ää ja 4,5 miljoonaa EURR:ää. Hyökkääjä ehti vetää hajautetuista pörsseistä noin 2,8 miljoonaa dollaria ennen kuin hinnat romahtivat. Kyseessä on ensimmäinen MiCA-aikakauden vakava stablecoin-välikohtaus.
Sääntelyn kannalta tämä oli se hetki, jota ei pitänyt tapahtua. Maltalainen sähkörahayhteisö StablR on ollut täysin MiCA-sääntelyn mukainen heinäkuusta 2024 lähtien, ja Tether teki yhtiöön strategisen sijoituksen joulukuussa 2024. Lauantain vastaisena yönä yksi sen mintauksen yksityisistä avaimista joutui vääriin käsiin.
Hyökkäys ei kohdistunut älysopimuksen koodiin. On-chain-tutkija ZachXBT sanoo, että StablR käytti 1-of-3 multisigiä mintaustransaktioiden hyväksyntään. Yhden allekirjoittajan avaimen vaarantuminen riitti, jotta hyökkääjä saattoi lisätä itsensä omistajaksi, korvata kaksi muuta ja mintata uusia tokeneita ilman katetta. Turvallisuusyhtiö Blockaid vahvistaa saman löydöksen omassa analyysissään.
1-of-3 multisig
Multisig on usean allekirjoittajan lompakko. 1-of-3 tarkoittaa, että minkä tahansa kolmesta avaimesta riittää hyväksymään transaktion. Mintauksen kaltaisessa toiminnossa tämä on poikkeuksellisen löyhä asetus – yksi vuotanut avain antaa täydet oikeudet.
Hyökkääjä loi 8,35 miljoonaa USDR:ää ja 4,5 miljoonaa EURR:ää ilman katetta ja syyti tokenit hajautettuihin pörsseihin. Hyökkääjän saalis jäi noin 1 115 ETH:iin eli 2,8 miljoonaan dollariin, koska likviditeetti hajautetuissa pörsseissä ei riittänyt. EURR:n DEX-pohja oli 0,45 dollaria ja USDR:n noin 0,23 dollaria.
CoinMarketCapin painotettu vuorokausipohja jäi EURR:llä 0,8511 dollariin ja USDR:llä noin 0,70 dollariin.
StablR ei reagoinut nopeasti. Hyökkäyksen alettua kello 01.46 UTC ZachXBT nosti asian esiin, mutta liikkeellelaskija vaikeni yhä lähes kaksi tuntia myöhemmin.
– StablR-tiimi näyttää nukkuvan, ja hyökkäys on jatkunut jo kolme tuntia, ZachXBT kirjoitti kello 03.52 UTC.
Tutkija julkaisi pääosoitteen 0xea480c23d7b29a515856aafe0dc86f7519965a04 ja kahdeksan liittyvää lompakkoa. ZachXBT kertoi auttaneensa jäädyttämään "kuusinumeroisia summia" pörsseissä. Gijs op de Weegh, StablR:n toimitusjohtaja, ei ollut tätä artikkelia kirjoitettaessa kommentoinut tilannetta.
Suomalaisille sijoittajille välitön altistuminen on vähäistä. EURR ja USDR ovat ennen kaikkea yritysten kassanhallintatyökaluja, mutta tokenit on listattu Krakenillä, Bitfinexillä ja Phemexillä, joilla on suomalaisia käyttäjiä. Kuka tahansa, joka osti tokeneita hajautetuista pörsseistä vuorokauden aikana, kärsi realisoituneita tappioita. Reservit pysyivät koskemattomina, joten lunastukset virallisten kanavien kautta pitäisi pystyä hoitamaan normaalisti.
Sääntelypuolella tapaus paljastaa MiCA-kehyksen aukon. Asetus valvoo reservien laatua ja erottelua, ei liikkeellelaskijan operatiivista turvallisuutta. Pankkisektorilla DORA asettaa raamit kyberresilienssille ja kolmansien osapuolten riskeille. Vastaava velvoite stablecoin-liikkeellelaskijoille puuttuu toistaiseksi.
Tetherin omistusosuus MiCA-säädellyssä yhtiössä antaa tapaukselle vielä yhden ulottuvuuden, vaikka USDT itse ei kuulu hyväksyttyjen tokenien joukkoon.
Miten EU vastaa MiCA-aikakauden ensimmäiseen vakavaan stablecoin-tietoturvaloukkaukseen? Vastaus määrittää, ulotetaanko sääntely jatkossa taseiden lisäksi myös avaintenhallintaan.
