المصدر الأصلي: Beosin
في 24 مايو، تعرض بروتوكول العملة المستقرة StablR لهجوم، حيث انفصلت العملة المستقرة الأوروبية المتوافقة EURR والعملة المستقرة بالدولار الأمريكي USDR التي أصدرتها بشكل حاد بسبب التصنيع غير المشروع بكميات كبيرة، وانخفضت بنسبة 20٪، مما تسبب في خسائر فعلية تجاوزت 3 ملايين دولار أمريكي. وقد نتج هذا الهجوم عن فقدان التحكم في صلاحيات التوقيع المتعدد، مما يعيد تذكير قطاع العملات المستقرة بأهمية الحوكمة الأمنية.
تحليل عملية الهجوم
StablR هي شركة إصدار عملة مستقرة مقرها في مالطا، وقد أعلنت Tether سابقًا عن استثمار استراتيجي في StablR وقدمت لها أدوات إصدار العملة المستقرة وإدارة المخاطر من خلال منصتها Hadron لتوسيع الأصول. حاليًا، أطلقت StablR منتجين من العملة المستقرة المطابقة للوائح: EURR وUSDR،
من خلال تحليل بيانات السلسلة، يمكننا ملاحظة أن:
عنوان المحفظة متعددة التوقيع التي تتحكم في طباعة EURR هو 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc
المحفظة متعددة التوقيع التي تتحكم في طباعة USDR هي
0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3
نظرًا لأن تنفيذ المعاملة من قبل محفظة التوقيع المتعدد المذكورة أعلاه يتطلب توقيعًا واحدًا فقط، قام المهاجم بإضافة عنوان المهاجم 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 إلى محفظتي التوقيع المتعدد المذكورتين أعلاه من خلال التحكم في عنوان المالك 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d:
رابط المعاملة ذي الصلة:
(1) 0x41c2504e208a3f260b2564393938b6e68f7348f5fcb8df00cde41f800f073c8a
(2) 0x5b5825ca36f4cdad02b1c777df63115e63010de77de71dba0ac60160c18100de
من خلال العملية أعلاه، يمكننا أن نرى أن هذه الحادثة لا تتعلق بثغرة في الكود، بل بمشكلة أمنية تشغيلية لدى مُصدر العملة المستقرة: لم يتم حفظ مفتاح الخصوصية للعنوان ذو الصلاحيات الخاصة، ولم يتم استخدام توقيع متعدد بعتبة عالية للعمليات عالية القيمة/عالية المخاطر، ولم يتم تطبيق قفل زمني على عمليات الصك الكبيرة، كما أن هناك نقصًا في آلية استجابة طارئة سريعة.
بعد الحصول على صلاحية الطباعة في عنوان المهاجم 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1، بدأ المهاجم في طباعة كميات كبيرة وإرسال العملات المستقرة المطبوعة إلى عناوين متعددة:
وفقًا لـ Beosin، تم سك ما مجموعه 8.35M USDR و 4.5M EURR، رابط استعلام السك ذي الصلة: https://etherscan.io/advanced-filter?fadd=0x0000000000000000000000000000000000000000&tadd=0x0000000000000000000000000000000000000000&tkn=0x7b43e3875440b44613dc3bc08e7763e6da63c8f8%2c0x50753cfaf86c094925bf976f218d043f8791e408&ps=50
تحليل تدفق الأموال المسروقة
الخسارة الفعلية الناتجة عن هذا الحدث تجاوزت 3 ملايين دولار أمريكي. بعد الطبع، كان عنوان الاستلام الرئيسي:
1、0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1
(تم استقبال 1,000,000 EURR في هذا العنوان)
2、0xBb64302c6F039D4aa800CAc93E6E54856958675D
(استقبل هذا العنوان 4,000,535.33 EURR و4,610,173.19 USDR؛ التراكم الحالي: 324,163.04 USDR و1,204,098.63 EURR)
3. 0xeA480c23D7B29a515856AafE0dc86F7519965a04
(استلم هذا العنوان 412.67 ETH و2,575,966.87 USDR و650,000 EURR)
4、0x5D2184d84b82B67c1818Bbec8ce81E7Df14F6bAb
(استلم هذا العنوان 235.92 ETH و700,000 EURR و200,000 USDR)
5. 0x41E63c5d2AE95802868D9ef3686cC974aDA96d0d
(استقبل هذا العنوان 225.54 ETH و4,000,000 USDR و1,000,000 EURR)
6. 0x873Ef45d10b29EB251b1Eb5Fe057C325f092a80a
(استلم هذا العنوان 2,000,000 USDR؛ التراكم الحالي: 1,969,000 USDR)
7. 0x8c1957765721e2540c03A0D64435a469a7266c51
(استقبل هذا العنوان 1,400,000 USDR و1,400,000 EURR؛ التراكم الحالي: 900,000 EURR و900,000 USDR)
8、0x865eC0587CdF305877783C080d97DEdD4f60398f
(استلم هذا العنوان 504,000 USDR)
من خلال تحليل Beosin Trace، تم تحويل جزء من EURR وUSDR المُستَنْتَجة بشكل غير قانوني عبر طرق توزيع الأموال إلى بورصات مختلفة مثل ChangeNOW وKraken وHuobi وWhiteBIT، ودخلت كميات صغيرة إلى مزيّن Tornado Cash.
يمكن لـ Beosin Trace اختراق مزجّات العملات مثل Tornado Cash وChangeNOW وFixedflow وغيرها من بورصات التبديل السريع، وتظهر نتائج الاختراق التالية:
باستثناء الأموال المحولة إلى البورصات المركزية، فإن تراكم الأموال على السلسلة كالتالي:
1. 0x09be1a36c2d7f9909eb3d6f9184c6e46a12b0aca
المبلغ المدفوع: 1,488.08 ETH
2. 0x464545b1f001ec64f93a31a8e678bfbd3146ef3f
المبلغ المدفوع: 510,673.98 USDR و 44,000 EURR
3. 0x9c25a3634fa04a8bac72e233c74469d5e15c5926
المبلغ المُجمَّع: 85.21 ETH و15,263.22 USDT و101,241.95 EURR
4. 0x2e74a82f6dbdfbe8fe54bd081e215c0c368c7762
المبلغ المُجمَّع: 8.91 ETH و 26,816.98 USDT و 250,570.03 EURR
5. 0xde7adbb368c2616df8c5c0e986933bee8f660add
المبلغ المجمّع: 13.65 ETH و 165,162.05 USDT و 38,696.42 USDR و 258,117.67 EURR
6. 0x0bc0b7b24876ac97610346ea0194735ccc271edd
المبلغ المُجمَّع: 100 ETH
7. 0xb8d90cffe9fdb398afec7046490d1efdb28a6386
المبلغ المجمد: 100,000 USDR
8. 0x7ec05d1d6b0cbf4e74bd5907d01aeeb4343c6376
المبلغ المُجمَّع: 15 ETH
يظهر تدفق الأموال الإجمالي كما هو موضح في الرسم البياني التالي:
رسم تحليل تدفق الأموال المسروقة بواسطة Beosin Trace
تُثبت هذه الحادثة الأمنية أن مراجعة الكود لا يمكنها حل عيوب التشغيل/الحوكمة، ويجب على الجهات المصدرة للعملات المستقرة والهيئات التنظيمية التفكير في مراقبة نشطة بناءً على المخاطر لحركة وتداول العملات المستقرة في الأسواق الثانوية. وفي سياق هذا التحدي الصناعي، أطلقت Beosin نظام مراقبة العملات المستقرة (Stablecoin Monitoring) الذي يغطي دورة حياة العملات المستقرة الكاملة: يدعم هذا النظام المراقبة المستمرة للمؤشرات التشغيلية الرئيسية مثل إجمالي كمية الإصدار، وعمليات السك والحرق، وتوزيع عناوين الحيازة، وتدفقات المعاملات على السلسلة، وغيرها.
خلال مرحلة التداول، يجمع Stablecoin Monitoring بين تحليل تقلبات الأسعار والحالة المرجعية لاكتشاف مخاطر الانفصال الناتجة عن التلاعب بالسوق أو أزمات السيولة، للتعامل مع سيناريوهات الهجوم مثل تلك التي حدثت في حادثة StablR حيث تم تزوير عملات مستقرة بشكل جماعي بعد تسريب المفتاح الخاص؛ كما يمتلك القدرة على تتبع الأنشطة عبر السلاسل، مما يسمح بتتبع تدفقات الأموال عبر سلاسل بلوكشين مختلفة. بالنسبة للعملات المستقرة المزيفة الصادرة على السلسلة، يوفر هذا النظام مراقبة فورية وإنذارات لمساعدة المستخدمين على تحديد مخاطر الاحتيال ذات الصلة.