- Isang napapalabas na 1-of-3 multisig ang nagbigay-daan sa mga attacker na mag-mint ng $13.5M sa EURR at USDR bago iswap sa ETH.
- Bumaba ang EURR sa ~$0.85 at ang USDR sa ~$0.40 habang ang mga hindi suportadong token ay nagbaha sa mga merkado at ang likwididad ay nagkawala.
- Ipinagkaloob ni Blockaid ang paglabas sa pagkabigo sa pamamahala, na nagpapakita ng mga panganib mula sa mahinang pagpapamahala ng mga susi sa mga sistema ng stablecoin.
Nawala ang kanilang peg ang mga stablecoin na EURR at USDR pagkatapos ng isang pag-atake na naglalaman ng isang napapahamak na multisig wallet at $13.5 milyon sa hindi pinahintulutang pagmimina. Ang insidente, ireport noong linggo, ay nakita ang mga token na inilabas na higit sa kanilang suporta at agad na idinagdag sa mga decentralized exchange. Ayon sa onchain investigator na si ZachXBT, isinalin ng attacker ang malalaking bahagi nito sa ETH habang patuloy pa ang sistema.
Ang Multisig Exploit ay Nag-trigger ng Pag-abuso sa Pagmimint
Ipinahayag ng security firm na Blockaid na ang paglabas ay nagmula sa 1-of-3 multisig setup na kumokontrol sa minting contract ng StablR. Ang attacker ay kompromiso ang isang signer at nakakuha ng administratibong kontrol.
Pagkatapos makapasok, nagpalit ang attacker ng mga umiiral na may-ari at nag-mint ng 8.35 milyong USDR at 4.5 milyong EURR. Ito ay naglikha ng halos $13.5 milyon sa mga token na walang suporta sa mga maagang oras ng pag-atake.
Ayon sa Blockaid, halos $10.4 milyon ang napalitan sa ETH sa mga decentralized exchange. Gayunpaman, ang slippage ay bumaba sa initial realized gains hanggang sa halos $2.8 milyon.
Kilala, ginamit din ng attacker ang administrative rights upang i-blacklist at iburn ang mga token. Ipinakita ng onchain records na humigit-kumulang sa 2.7 milyong EURR ang inalis mula sa isang wallet na aktibo sa normal na redemption flows.
Nasira ang stabilidad ng peg ng EURR at USDR
Nawala ang kanilang peg ang EURR at USDR kaagad pagkatapos magsimula ang exploit. Bumaba ang EURR patungo sa halos $0.85, habang bumaba ang USDR hanggang sa $0.40 sa pananalig.
Ayon sa data ng CoinGecko, nakatrabaho ang EURR malapit sa $0.85 pagkatapos ng window ng pag-atake. Ang USDR ay bumalik nang kaunti ngunit nanatili nang malawak sa ilalim ng parity.
Samantala, ZachXBT ay nag-flag ng insidente habang patuloy ang aktibidad at tinatayong ang mga paggalaw ng wallet na pinagbawasan sa pamamagitan ng Cross-Chain Transfer Protocol ng Circle. Ipinahayag niya rin ang bahagyang pag-frozen ng mga pondo sa panahon ng exploit.
Kinumpirma ng StablR ang insidente ilang oras pagkatapos magbago ang onchain activity. Sinabi ng kumpanya na nagtatrabaho sila upang kontrolin ang exploit at suriin ang epekto sa sistema.
Mga Panganib sa Pamamahala at Katibayan ng Institusyon
Ipinagkakaloob ni Blockaid ang paglabas sa isang pagkabigo sa pamamahala at pagpapahalaga ng susi kaysa sa isang bug sa smart contract. Ang threshold ng 1-of-3 na lagda ay naging sentral na tulong sa pagsusuri ng seguridad.
Kinabigyan ng suporta ang StablR ng Tether at Kraken, nagpapahigay sa sarili nito sa mga reguladong merkado ng stablecoin sa Europa. Ang tagapaglabas ay gumagawa sa ilalim ng lisensya mula sa regulador ng pondo ng Malta.
Ayon sa mga nakaraang pagpapahayag, pinroseso ng EURR at USDR ang higit sa €3 bilyon na volumen ng transaksyon sa maagang 2025. Ang mga token ay nakalista rin sa higit sa 50 na exchange na may higit sa 150 na trading pair.
Ang insidente ay tumutugma sa mas malawak na pattern ng mga paglabag sa 2026 na naglalaman ng privileged access at pagkabigo sa pamamahala sa iba’t ibang crypto protocols.