Inicio
Noticias
Detalles

La stablecoin StablR se desvinculó tras un ataque, con más de $3 millones perdidos

iconOdaily
Compartir
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconResumen

expand icon
El protocolo de stablecoin StablR sufrió una brecha de seguridad el 24 de mayo, provocando una desvinculación del 20% para EURR y USDR debido a la acuñación masiva ilegal. Los atacantes explotaron una vulnerabilidad de firma única en monederos multisig, drenando más de $3 millones. Beosin rastreó la explotación hasta una mala seguridad operacional, incluyendo gestión débil de claves y ausencia de bloqueos temporales para acciones de riesgo. Se acuñaron un total de 8,35 millones de USDR y 4,5 millones de EURR, con los fondos robados distribuidos en múltiples monederos y enviados a Kraken, Huobi y WhiteBIT. El incidente resalta la necesidad de una actualización del protocolo para prevenir ataques similares.

Origen: Beosin

El 24 de mayo, el protocolo de stablecoin StablR fue atacado, lo que provocó que sus stablecoins reguladas EURR y USDR se desancoraran drásticamente debido a la acuñación ilegal masiva, con una caída del 20% y pérdidas reales superiores a 3 millones de dólares. Este ataque se debió a la pérdida de control sobre los permisos de firma múltiple, volviendo a alertar a toda la industria de stablecoins sobre la importancia de la gobernanza de seguridad.

Imagen

Análisis del flujo de ataque

StablR es un emisor de stablecoins con sede en Malta, tras el anuncio previo de Tether de una inversión estratégica en StablR y la provisión de herramientas para la emisión de stablecoins y gestión de riesgos a través de su plataforma de tokenización Hadron. Actualmente, StablR ha lanzado dos productos de stablecoins cumplimentarios: EURR y USDR,

Al analizar los datos en la cadena, podemos observar que:

La billetera de multifactores que controla la acuñación de EURR es 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc

La billetera multisignatura que controla la acuñación de USDR es

0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3

Dado que la transacción iniciada por la billetera de firma múltiple anterior requiere solo una firma, el atacante, al controlar la dirección owner 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, añadió la dirección del atacante 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 a las dos billeteras de firma múltiple anteriores:

Imagen

Hash de transacción relacionado:

(1) 0x41c2504e208a3f260b2564393938b6e68f7348f5fcb8df00cde41f800f073c8a

(2) 0x5b5825ca36f4cdad02b1c777df63115e63010de77de71dba0ac60160c18100de

A través del proceso anterior, podemos ver que este incidente no se trata de una vulnerabilidad en el código, sino de problemas de seguridad operativa por parte del emisor de la moneda estable: no guardó adecuadamente la clave privada de la dirección con privilegios, no utilizó firmas múltiples con umbral alto para operaciones de alto valor/alto riesgo, no implementó bloqueos temporales para operaciones de acuñación de gran volumen y carece de un mecanismo de respuesta de emergencia rápida.

Después de obtener permisos de acuñación en la dirección del atacante 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1, el atacante comenzó a acuñar en gran escala y envió los stablecoins acuñados a múltiples direcciones:

Imagen

Según Beosin, se acuñaron un total de 8.35M USDR y 4.5M EURR; enlace de consulta de acuñación relacionado: https://etherscan.io/advanced-filter?fadd=0x0000000000000000000000000000000000000000&tadd=0x0000000000000000000000000000000000000000&tkn=0x7b43e3875440b44613dc3bc08e7763e6da63c8f8%2c0x50753cfaf86c094925bf976f218d043f8791e408&ps=50

Análisis del flujo de fondos robados

La pérdida real causada por este evento supera los 3 millones de dólares. Después de la acuñación, la dirección principal de recepción fue:

1、0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1

(Esta dirección recibió un total de 1,000,000 EURR)

2、0xBb64302c6F039D4aa800CAc93E6E54856958675D

(Esta dirección recibió un total de 4,000,535.33 EURR y 4,610,173.19 USDR; saldo actual: 324,163.04 USDR y 1,204,098.63 EURR)

3. 0xeA480c23D7B29a515856AafE0dc86F7519965a04

(Esta dirección recibió un total de 412.67 ETH, 2,575,966.87 USDR y 650,000 EURR)

4. 0x5D2184d84b82B67c1818Bbec8ce81E7Df14F6bAb

(Esta dirección recibió un total de 235.92 ETH, 700.000 EURR y 200.000 USDR)

5. 0x41E63c5d2AE95802868D9ef3686cC974aDA96d0d

(Esta dirección recibió un total de 225.54 ETH, 4,000,000 USDR y 1,000,000 EURR)

6. 0x873Ef45d10b29EB251b1Eb5Fe057C325f092a80a

(Esta dirección recibió un total de 2,000,000 USDR; saldo actual: 1,969,000 USDR)

7. 0x8c1957765721e2540c03A0D64435a469a7266c51

(Esta dirección recibió un total de 1,400,000 USDR y 1,400,000 EURR; saldo actual: 900,000 EURR y 900,000 USDR)

8、0x865eC0587CdF305877783C080d97DEdD4f60398f

(Esta dirección recibió un total de 504,000 USDR)

Mediante el análisis de Beosin Trace, una parte de los EURR y USDR forjados ilegalmente se transfirieron a diferentes intercambios, como ChangeNOW, Kraken, Huobi y WhiteBIT, mediante la dispersión de fondos, y una pequeña cantidad de fondos ingresó al mezclador Tornado Cash.

Beosin Trace puede rastrear transacciones a través de mezcladores como Tornado Cash y ChangeNOW, Fixedflow, etc., los resultados de rastreo relacionados se muestran a continuación:

Imagen

Imagen

Además de los fondos transferidos a intercambios centralizados, el acúmulo de fondos en la cadena es el siguiente:

1. 0x09be1a36c2d7f9909eb3d6f9184c6e46a12b0aca

Cantidad depositada: 1,488.08 ETH

2. 0x464545b1f001ec64f93a31a8e678bfbd3146ef3f

Cantidad depositada: 510,673.98 USDR, 44,000 EURR

3. 0x9c25a3634fa04a8bac72e233c74469d5e15c5926

Cantidad depositada: 85.21 ETH, 15,263.22 USDT, 101,241.95 EURR

4. 0x2e74a82f6dbdfbe8fe54bd081e215c0c368c7762

Cantidad depositada: 8.91 ETH, 26,816.98 USDT, 250,570.03 EURR

5. 0xde7adbb368c2616df8c5c0e986933bee8f660add

Cantidad depositada: 13.65 ETH, 165,162.05 USDT, 38,696.42 USDR, 258,117.67 EURR

6. 0x0bc0b7b24876ac97610346ea0194735ccc271edd

Cantidad depositada: 100 ETH

7. 0xb8d90cffe9fdb398afec7046490d1efdb28a6386

Cantidad depositada: 100,000 USDR

8. 0x7ec05d1d6b0cbf4e74bd5907d01aeeb4343c6376

Cantidad depositada: 15 ETH

El flujo de fondos total se muestra en la siguiente imagen:

Imagen

Gráfico de análisis del flujo de fondos robados por Beosin Trace

Este incidente de seguridad demuestra que la auditoría de código no puede resolver defectos operativos o de gobernanza; los emisores de stablecoins y las autoridades regulatorias deberían considerar monitorear activamente la circulación y operación de las stablecoins en los mercados secundarios basándose en el riesgo. Para abordar este punto crítico de la industria, Beosin ha lanzado el sistema de monitoreo de stablecoins (Stablecoin Monitoring), que cubre todo el ciclo de vida de las stablecoins: este sistema permite monitorear continuamente indicadores operativos clave, como el volumen total emitido, las acciones de acuñación y destrucción, la distribución de direcciones titularias y los flujos de transacciones en la cadena.

Imagen

Durante la fase de circulación, Stablecoin Monitoring combina el análisis de la volatilidad de precios y el estado de anclaje para detectar oportunamente riesgos de desanclaje causados por manipulación del mercado o crisis de liquidez, respondiendo a escenarios de ataque como la creación masiva maliciosa de stablecoins tras la filtración de claves privadas, tal como ocurrió en el evento StablR; además, posee la capacidad de rastrear actividades interchain, permitiendo seguir el flujo de fondos a través de diferentes blockchains. Para las stablecoins falsificadas emitidas en la cadena, el sistema ofrece monitoreo en tiempo real y alertas, facilitando a los usuarios la identificación de riesgos de fraude relacionados.

Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.