Source: Beosin
Noong Mayo 24, ang stablecoin protocol na StablR ay nasakop, at ang kanilang nagpapalabas na kompliyans na euro stablecoin na EURR at dollar stablecoin na USDR ay nagkakaroon ng malaking pagbaba sa halaga dahil sa ilegal na malaking paggawa, na bumaba ng 20%, na nagresulta sa aktwal na pagkawala na hihigit sa $3 milyon. Ang pag-atake ay nanggaling sa pagkawala ng kontrol sa multi-signature permissions, na muli ay nagbigay babala sa buong industriya ng stablecoin tungkol sa seguridad at pamamahala.
Pagsusuri sa proseso ng pag-atake
Ang StablR ay isang issuer ng stablecoin na may pangunahang tanggapan sa Malta, na kung saan ay inanunsyo ng Tether ang kanilang strategic investment sa StablR at pagbibigay ng mga kasangkapan para sa pag-iimbak at pagsasagawa ng panganib sa pamamagitan ng kanilang Hadron tokenization platform. Sa kasalukuyan, ang StablR ay naglunsad ng dalawang kompliyans na produkto ng stablecoin: EURR at USDR,
Sa pamamagitan ng pagsusuri ng on-chain data, makikita natin na:
Ang multi-signature wallet na nagpapagawa ng EURR ay 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc
Ang multi-signature wallet na nagpapakontrol sa paggawa ng USDR ay
0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3
Dahil sa pagpapatakbo ng transaksyon sa mga multi-sign wallet na ito ay nangangailangan ng isang lagda lamang, ang attacker ay nakontrol ang owner address 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d at idinagdag ang attacker address 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 sa dalawang multi-sign wallet na ito:
Kaugnay na transaction hash:
(1) 0x41c2504e208a3f260b2564393938b6e68f7348f5fcb8df00cde41f800f073c8a
(2) 0x5b5825ca36f4cdad02b1c777df63115e63010de77de71dba0ac60160c18100de
Sa pamamagitan ng proseso na ito, makikita natin na ang insidente ay hindi tungkol sa bug sa code, kundi sa seguridad sa operasyon ng tagapaglabas ng stablecoin: hindi maingat na pinanatili ang private key ng privileged address, walang gamit na high-threshold multisig para sa mga operasyon na may mataas na halaga o panganib, walang time lock para sa malalaking minting operation, at kulang sa mabilis na mekanismo ng emergency response.
Pagkatapos makakuha ng pahintulot sa paggawa ng pera sa address ng attacker na 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1, nagsimula ang attacker na mag-gawa ng malaking dami ng pera at ipadala ang mga gawang stablecoin sa maraming address:
Ayon sa Beosin, ang kabuuang bilang ng na-cast na USDR ay 8.35M at EURR ay 4.5M; ang kaugnay na link para sa pag-verify ng pag-cast: https://etherscan.io/advanced-filter?fadd=0x0000000000000000000000000000000000000000&tadd=0x0000000000000000000000000000000000000000&tkn=0x7b43e3875440b44613dc3bc08e7763e6da63c8f8%2c0x50753cfaf86c094925bf976f218d043f8791e408&ps=50
Analysis ng paggalaw ng mga nasasakop na pondo
Ang tunay na pagkawala dulot ng insidente ay higit sa $3 milyon. Pagkatapos ng minting, ang pangunahing address ng pagtatanggap ay:
1、0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1
(Tanggap ng address na ito ang kabuuang 1,000,000 EURR)
2、0xBb64302c6F039D4aa800CAc93E6E54856958675D
(Tanggap ng address na ito ang kabuuang 4,000,535.33 EURR at 4,610,173.19 USDR; kasalukuyang nakapag-ikot: 324,163.04 USDR at 1,204,098.63 EURR)
3. 0xeA480c23D7B29a515856AafE0dc86F7519965a04
(Tanggap ng address na ito ang 412.67 ETH, 2,575,966.87 USDR, at 650,000 EURR)
4、0x5D2184d84b82B67c1818Bbec8ce81E7Df14F6bAb
(Tanggap ng address na ito ang 235.92 ETH, 700,000 EURR, at 200,000 USDR)
5、0x41E63c5d2AE95802868D9ef3686cC974aDA96d0d
(Tanggap ng address na ito ang 225.54 ETH, 4,000,000 USDR, at 1,000,000 EURR)
6、0x873Ef45d10b29EB251b1Eb5Fe057C325f092a80a
(Tanggap ng address na ito ang kabuuang 2,000,000 USDR; kasalukuyang nakapag-ikot: 1,969,000 USDR)
7、0x8c1957765721e2540c03A0D64435a469a7266c51
(Tanggap ng address na ito ang kabuuang 1,400,000 USDR at 1,400,000 EURR; kasalukuyang nakapag-ikot: 900,000 EURR at 900,000 USDR)
8、0x865eC0587CdF305877783C080d97DEdD4f60398f
(Tanggap ng address na ito ang 504,000 USDR)
Sa pamamagitan ng pag-analisa ng Beosin Trace, ang iligal na minted na EURR at USDR ay nakatransfer sa iba't ibang exchange tulad ng ChangeNOW, Kraken, Huobi, WhiteBIT, atbp. sa pamamagitan ng paghahati-hati ng pondo, habang ang kaunting bahagi ay pumasok sa Tornado Cash mixer.
Ang Beosin Trace ay makakapag-trace sa mga transaksyon sa mga mixer tulad ng Tornado Cash at ChangeNOW, Fixedflow, at iba pang flash exchange, at ang mga resulta ng pagtrace ay ipinapakita sa ibaba:
Bukod sa mga pondo na isinapit sa sentralisadong exchange, ang pagkakasalba ng mga pondo sa chain ay sumusunod:
1. 0x09be1a36c2d7f9909eb3d6f9184c6e46a12b0aca
Deposit amount: 1,488.08 ETH
2. 0x464545b1f001ec64f93a31a8e678bfbd3146ef3f
Deposit amount: 510,673.98 USDR, 44,000 EURR
3. 0x9c25a3634fa04a8bac72e233c74469d5e15c5926
Deposit amount: 85.21 ETH, 15,263.22 USDT, 101,241.95 EURR
4. 0x2e74a82f6dbdfbe8fe54bd081e215c0c368c7762
Deposit amount: 8.91 ETH, 26,816.98 USDT, 250,570.03 EURR
5. 0xde7adbb368c2616df8c5c0e986933bee8f660add
Deposit amount: 13.65 ETH, 165,162.05 USDT, 38,696.42 USDR, 258,117.67 EURR
6. 0x0bc0b7b24876ac97610346ea0194735ccc271edd
Deposit amount: 100 ETH
7. 0xb8d90cffe9fdb398afec7046490d1efdb28a6386
Deposit amount: 100,000 USDR
8. 0x7ec05d1d6b0cbf4e74bd5907d01aeeb4343c6376
Deposit amount: 15 ETH
Ang pangkalahatang paggalaw ng pondo ay ipinapakita sa sumusunod na larawan:
Grafiko ng Pag-analisa ng Paggalaw ng Mga Pondo na Ipinagkakait ni Beosin Trace
Patunayan ng seguridad na ito na ang pag-audit ng code ay hindi nakakasolve ng mga kakulangan sa operasyon/pamamahala, at ang mga tagapaglabas ng stablecoin at mga ahensya ng regulasyon ay dapat isipin ang aktibong pagmamasid sa paggalaw at operasyon ng stablecoin sa secondary market batay sa panganib. Para sa pangangailangang ito sa industriya, inilunsad ni Beosin ang Stablecoin Monitoring System na sumasakop sa buong buhay cycle ng stablecoin: suportahan ng sistema ang patuloy na pagmamasid sa mga mahahalagang indikador ng operasyon tulad ng kabuuang dami ng paglabas, mga gawaing paggawa at pagpapalabas, distribusyon ng mga address na may balanse, at mga transaksyon sa chain.
Sa panahon ng pagpapalaganap, ang Stablecoin Monitoring ay magkakasama ang pag-aaral sa pagbabago ng presyo at pagkakabond sa pagkakakilanlan upang maagap na makita ang mga panganib ng pagkawala ng pagkakabond na dulot ng pagmamalabis sa merkado o krisis sa likuididad, upang harapin ang mga gawain tulad ng paggawa ng malaking bilang ng masasamang stablecoin pagkatapos ng pagkawala ng private key tulad ng nangyari sa StablR; at may kakayahang tukuyin ang mga gawain sa iba’t ibang blockchain upang subaybayan ang daloy ng pera. Para sa mga imitasyon na stablecoin na inilabas sa blockchain, nagbibigay ang sistema ng real-time na pagmamasid at babala upang matulungan ang mga user na makilala ang kaugnay na panganib ng pandaraya.