Source originale : Beosin
Le 24 mai, le protocole de stablecoin StablR a été attaqué ; ses stablecoins réglementés EURR et USDR ont subi une déconnexion importante, chutant de 20 % en raison d'une création illégale massive, entraînant des pertes réelles dépassant 3 millions de dollars. Cette attaque, résultant d'une mauvaise gestion des autorisations de signature multiple, rappelle une nouvelle fois l'urgence de renforcer la gouvernance sécuritaire dans tout le secteur des stablecoins.
Analyse du processus d'attaque
StablR est un émetteur de stablecoin basé à Malte, après que Tether ait annoncé un investissement stratégique dans StablR et lui ait fourni des outils d'émission de stablecoin et de gestion des risques via sa plateforme de tokenisation Hadron. Actuellement, StablR a lancé deux produits de stablecoin conformes : EURR et USDR,
En analysant les données sur la chaîne, nous pouvons constater que :
Le portefeuille multisig qui contrôle la création d'EURR est 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc
Le portefeuille multisig qui contrôle la création de USDR est
0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3
Étant donné que la transaction initiée par le portefeuille multi-signatures ci-dessus nécessite uniquement une signature, l'attaquant, en contrôlant l'adresse owner 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, a ajouté l'adresse de l'attaquant 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 aux deux portefeuilles multi-signatures ci-dessus :
Hash de transaction associé :
(1) 0x41c2504e208a3f260b2564393938b6e68f7348f5fcb8df00cde41f800f073c8a
(2) 0x5b5825ca36f4cdad02b1c777df63115e63010de77de71dba0ac60160c18100de
À travers ce processus, nous pouvons constater que cet incident ne concerne pas une vulnérabilité de code, mais plutôt une problématique de sécurité opérationnelle de l'émetteur de la stablecoin : absence de sauvegarde sécurisée de la clé privée de l'adresse privilégiée, absence de signatures multi-signatures avec seuil élevé pour les opérations à haut risque ou à forte valeur, absence de verrouillage temporel pour les opérations de création en gros, et absence de mécanisme de réponse d'urgence rapide.
Après avoir obtenu les droits de frappe sur l'adresse de l'attaquant 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1, l'attaquant a commencé à frapper massivement et à envoyer les stablecoins frappés vers plusieurs adresses :
Selon Beosin, un total de 8,35 M USDR et 4,5 M EURR ont été émis. Lien de recherche pour les émissions : https://etherscan.io/advanced-filter?fadd=0x0000000000000000000000000000000000000000&tadd=0x0000000000000000000000000000000000000000&tkn=0x7b43e3875440b44613dc3bc08e7763e6da63c8f8%2c0x50753cfaf86c094925bf976f218d043f8791e408&ps=50
Analyse des flux de fonds volés
La perte réelle causée par cet événement dépasse 3 millions de dollars américains. Après la frappe, l'adresse principale de réception était :
1、0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1
(Cette adresse a reçu au total 1 000 000 EURR)
2、0xBb64302c6F039D4aa800CAc93E6E54856958675D
(Cette adresse a reçu au total 4 000 535,33 EURR et 4 610 173,19 USDR ; solde actuel : 324 163,04 USDR et 1 204 098,63 EURR)
3、0xeA480c23D7B29a515856AafE0dc86F7519965a04
(Cette adresse a reçu au total 412,67 ETH, 2 575 966,87 USDR et 650 000 EURR)
4、0x5D2184d84b82B67c1818Bbec8ce81E7Df14F6bAb
(Cette adresse a reçu au total 235,92 ETH, 700 000 EURR et 200 000 USDR)
5. 0x41E63c5d2AE95802868D9ef3686cC974aDA96d0d
(Cette adresse a reçu au total 225,54 ETH, 4 000 000 USDR, 1 000 000 EURR)
6、0x873Ef45d10b29EB251b1Eb5Fe057C325f092a80a
(Cette adresse a reçu au total 2 000 000 USDR ; le montant actuel immobilisé : 1 969 000 USDR)
7、0x8c1957765721e2540c03A0D64435a469a7266c51
(Cette adresse a reçu au total 1 400 000 USDR et 1 400 000 EURR ; solde actuel : 900 000 EURR et 900 000 USDR)
8、0x865eC0587CdF305877783C080d97DEdD4f60398f
(Cette adresse a reçu un total de 504 000 USDR)
À l'aide de l'analyse de Beosin Trace, une partie des EURR et USDR falsifiés ont été transférés vers différents échanges, tels que ChangeNOW, Kraken, Huobi et WhiteBIT, par des méthodes de dispersion des fonds, tandis qu'une petite quantité de fonds a été acheminée vers le mixeur Tornado Cash.
Beosin Trace peut tracer les transactions à travers des mixeurs tels que Tornado Cash, ChangeNOW, Fixedflow, etc. Les résultats de traçabilité sont présentés ci-dessous :
Hors les fonds transférés vers les échanges centralisés, la situation de blocage des fonds sur chaîne est la suivante :
1. 0x09be1a36c2d7f9909eb3d6f9184c6e46a12b0aca
Montant déposé : 1 488,08 ETH
2. 0x464545b1f001ec64f93a31a8e678bfbd3146ef3f
Montant déposé : 510 673,98 USDR, 44 000 EURR
3. 0x9c25a3634fa04a8bac72e233c74469d5e15c5926
Montant déposé : 85,21 ETH, 15 263,22 USDT, 101 241,95 EURR
4. 0x2e74a82f6dbdfbe8fe54bd081e215c0c368c7762
Montant déposé : 8,91 ETH, 26 816,98 USDT, 250 570,03 EURR
5. 0xde7adbb368c2616df8c5c0e986933bee8f660add
Montant déposé : 13,65 ETH, 165 162,05 USDT, 38 696,42 USDR, 258 117,67 EURR
6. 0x0bc0b7b24876ac97610346ea0194735ccc271edd
Montant déposé : 100 ETH
7. 0xb8d90cffe9fdb398afec7046490d1efdb28a6386
Montant déposé : 100 000 USDR
8. 0x7ec05d1d6b0cbf4e74bd5907d01aeeb4343c6376
Montant déposé : 15 ETH
Le flux de trésorerie global est illustré ci-dessous :
Graphique d'analyse du flux des fonds volés par Beosin Trace
Cet incident de sécurité démontre que les audits de code ne peuvent pas résoudre les défauts opérationnels ou de gouvernance ; les émetteurs de stablecoins et les autorités de régulation devraient envisager de surveiller activement, sur la base des risques, la circulation et les opérations des stablecoins sur les marchés secondaires. Pour répondre à ce point douloureux de l'industrie, Beosin a lancé un système de surveillance des stablecoins (Stablecoin Monitoring) couvrant tout le cycle de vie des stablecoins : ce système permet de surveiller en continu des indicateurs opérationnels clés tels que le volume total émis, les actions de création et de destruction, la répartition des adresses détentrices et les flux de transactions sur chaîne.
Pendant la phase de circulation, Stablecoin Monitoring analyse les fluctuations de prix et l'ancrage pour détecter en temps réel les risques de désancrage causés par la manipulation du marché ou une crise de liquidité, afin de répondre à des scénarios d'attaque tels que la fabrication massive et malveillante de stablecoins après une fuite de clé privée, comme dans l'affaire StablR ; il possède également la capacité de suivre les activités cross-chain, permettant de tracer les flux de fonds à travers différentes blockchains. Pour les stablecoins contrefaits émis sur chaîne, ce système fournit une surveillance en temps réel et des alertes, facilitant ainsi l'identification des risques de fraude par les utilisateurs.