स्रोत: Beosin
24 मई को, स्थिर मुद्रा प्रोटोकॉल StablR पर हमला हुआ, जिसके कारण इसके नियमित यूरो स्थिर मुद्रा EURR और डॉलर स्थिर मुद्रा USDR को अवैध रूप से बड़ी मात्रा में जारी किया गया, जिससे उनकी कीमत 20% तक गिर गई और वास्तविक नुकसान 300 डॉलर से अधिक हुआ। यह हमला मल्टी-सिग्नेचर अधिकार प्रबंधन के नियंत्रण के खोने के कारण हुआ, जिसने स्थिर मुद्रा क्षेत्र के लिए सुरक्षा शासन के महत्व को फिर से उजागर किया।
Attack flow analysis
StablR एक माल्टा स्थित स्थिर मुद्रा जारीकर्ता है, जिसके लिए पहले Tether ने रणनीतिक निवेश की घोषणा की और अपने Hadron टोकनाइज़ेशन प्लेटफॉर्म के माध्यम से StablR के लिए स्थिर मुद्रा जारीकरण और जोखिम प्रबंधन उपकरण प्रदान किए। वर्तमान में, StablR ने दो संगत स्थिर मुद्रा उत्पादों: EURR और USDR को लॉन्च किया है।
ऑन-चेन डेटा के विश्लेषण से हम पाते हैं:
EURR बनाने को नियंत्रित करने वाला मल्टी-सिग वॉलेट 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc है
USDR मिंटिंग के लिए नियंत्रित मल्टी-सिग वॉलेट है
0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3
चूंकि उपरोक्त मल्टी-सिग वॉलेट द्वारा लेन-देन के लिए केवल 1 सिग्नेचर की आवश्यकता होती है, इसलिए हमलावर ने owner पता 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d पर नियंत्रण प्राप्त करके हमलावर के पते 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 को उपरोक्त दो मल्टी-सिग वॉलेट में जोड़ दिया:
संबंधित ट्रेडिंग हैश:
(1) 0x41c2504e208a3f260b2564393938b6e68f7348f5fcb8df00cde41f800f073c8a
(2) 0x5b5825ca36f4cdad02b1c777df63115e63010de77de71dba0ac60160c18100de
ऊपर के प्रक्रिया से हम देख सकते हैं कि इस घटना का मुद्दा कोड के दुरुपयोग नहीं, बल्कि स्थिर मुद्रा जारीकर्ता की संचालन सुरक्षा समस्या है: प्राथमिक पते की निजी कुंजी को सुरक्षित नहीं रखा गया, उच्च मूल्य/उच्च जोखिम वाले संचालन के लिए उच्च दरवाज़ा मल्टी-सिग का उपयोग नहीं किया गया, बड़ी मुद्रण कार्रवाई के लिए समय-लॉक नहीं था, और त्वरित आपातकालीन प्रतिक्रिया तंत्र की कमी थी।
आक्रमणकारी पते 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 पर मिंटिंग अधिकार प्राप्त करने के बाद, आक्रमणकारी ने बड़े पैमाने पर मिंटिंग शुरू कर दी और मिंट की गई स्थिर मुद्रा को कई पतों पर भेज दिया:
Beosin के अनुसार, कुल 8.35M USDR और 4.5M EURR का निर्माण किया गया है, संबंधित मिंटिंग क्वेरी लिंक: https://etherscan.io/advanced-filter?fadd=0x0000000000000000000000000000000000000000&tadd=0x0000000000000000000000000000000000000000&tkn=0x7b43e3875440b44613dc3bc08e7763e6da63c8f8%2c0x50753cfaf86c094925bf976f218d043f8791e408&ps=50
Stolen funds flow analysis
इस घटना के कारण वास्तविक नुकसान 300 डॉलर से अधिक है। मिंटिंग के बाद, प्राथमिक स्वीकर्ता पता है:
1、0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1
(इस पते पर कुल 1,000,000 EURR प्राप्त हुए)
2、0xBb64302c6F039D4aa800CAc93E6E54856958675D
(इस पते पर कुल 4,000,535.33 EURR और 4,610,173.19 USDR प्राप्त हुए; वर्तमान जमा: 324,163.04 USDR और 1,204,098.63 EURR)
3、0xeA480c23D7B29a515856AafE0dc86F7519965a04
(इस पते पर कुल 412.67 ETH, 2,575,966.87 USDR और 650,000 EURR प्राप्त हुए)
4、0x5D2184d84b82B67c1818Bbec8ce81E7Df14F6bAb
(इस पते पर कुल 235.92 ETH, 700,000 EURR, 200,000 USDR प्राप्त हुए)
5、0x41E63c5d2AE95802868D9ef3686cC974aDA96d0d
(इस पते पर कुल 225.54 ETH, 4,000,000 USDR और 1,000,000 EURR प्राप्त हुए)
6、0x873Ef45d10b29EB251b1Eb5Fe057C325f092a80a
(इस पते पर कुल 2,000,000 USDR प्राप्त हुए; वर्तमान जमा: 1,969,000 USDR)
7、0x8c1957765721e2540c03A0D64435a469a7266c51
(इस पते पर कुल 1,400,000 USDR और 1,400,000 EURR प्राप्त हुए; वर्तमान निलंबित: 900,000 EURR और 900,000 USDR)
8、0x865eC0587CdF305877783C080d97DEdD4f60398f
(इस पते पर कुल 504,000 USDR प्राप्त हुए)
Beosin Trace द्वारा विश्लेषण करने पर, अवैध रूप से निर्मित EURR और USDR का कुछ हिस्सा ChangeNOW, Kraken, Huobi, WhiteBIT आदि विनिमयों में धन विकेंद्रीकरण के माध्यम से स्थानांतरित किया गया, और थोड़ी राशि Tornado Cash मिक्सर में जा चुकी है।
Beosin Trace, Tornado Cash और ChangeNOW, Fixedflow जैसे मिक्सर्स और स्विफ्ट एक्सचेंजेस के माध्यम से लेनदेन को ट्रैक कर सकता है, संबंधित ट्रैसिंग परिणाम नीचे दिए गए हैं:
सेंट्रलाइज्ड एक्सचेंज में जमा की गई राशि के अलावा, चेन पर फंड का संचय निम्नलिखित है:
1. 0x09be1a36c2d7f9909eb3d6f9184c6e46a12b0aca
प्रतिबद्ध राशि: 1,488.08 ETH
2. 0x464545b1f001ec64f93a31a8e678bfbd3146ef3f
प्रतिबद्ध राशि: 510,673.98 USDR, 44,000 EURR
3. 0x9c25a3634fa04a8bac72e233c74469d5e15c5926
जमा राशि: 85.21 ETH, 15,263.22 USDT, 101,241.95 EURR
4. 0x2e74a82f6dbdfbe8fe54bd081e215c0c368c7762
जमा राशि: 8.91 ETH, 26,816.98 USDT, 250,570.03 EURR
5. 0xde7adbb368c2616df8c5c0e986933bee8f660add
जमा राशि: 13.65 ETH, 165,162.05 USDT, 38,696.42 USDR, 258,117.67 EURR
6. 0x0bc0b7b24876ac97610346ea0194735ccc271edd
प्रतिबद्ध राशि: 100 ETH
7. 0xb8d90cffe9fdb398afec7046490d1efdb28a6386
प्रतिबद्ध राशि: 100,000 USDR
8. 0x7ec05d1d6b0cbf4e74bd5907d01aeeb4343c6376
जमा राशि: 15 ETH
कुल फंड फ्लो नीचे दिए गए चित्र में दर्शाया गया है:
डिस्ट्रब्ड फंड्स के प्रवाह विश्लेषण चार्ट by Beosin Trace
इस सुरक्षा घटना से साबित होता है कि कोड ऑडिट ऑपरेशनल/गवर्नेंस दोषों को हल नहीं कर सकता; स्टेबलकॉइन जारीकर्ता और नियामक प्राधिकरण को स्टेबलकॉइन के द्वितीयक बाजार में प्रवाह और ऑपरेशनल स्थिति को जोखिम-आधारित आधार पर सक्रिय रूप से मॉनिटर करने पर विचार करना चाहिए। इस उद्योग की चुनौती के संदर्भ में, Beosin ने स्टेबलकॉइन के पूरे जीवनचक्र को कवर करने वाला स्टेबलकॉइन मॉनिटरिंग सिस्टम (Stablecoin Monitoring) लॉन्च किया है: यह सिस्टम स्टेबलकॉइन की कुल जारी की गई मात्रा, मिंटिंग और डिस्ट्रॉय क्रियाएँ, होल्डिंग पते का वितरण, और ऑन-चेन लेनदेन प्रवाह जैसे महत्वपूर्ण ऑपरेशनल सूचकांकों के लिए निरंतर मॉनिटरिंग समर्थन करता है:
लीक होने के दौरान, स्टेबलकॉइन मॉनिटरिंग, मार्केट मैनिपुलेशन या लिक्विडिटी क्राइसिस के कारण होने वाले डिस्पीयरेंस जोखिम का पता लगाने के लिए कीमत उतार-चढ़ाव और एंकरिंग स्थिति का विश्लेषण करता है; इससे StablR घटना में प्राइवेट की लीक होने के बाद स्टेबलकॉइन की बड़े पैमाने पर दुरुपयोगपूर्ण जनरेशन जैसे हमलों का सामना किया जा सकता है; और यह क्रॉस-चेन गतिविधि ट्रैकिंग क्षमता भी रखता है, जिससे विभिन्न ब्लॉकचेन के माध्यम से फंड्स की गति का पता लगाया जा सकता है। ऑन-चेन जारी किए गए नकली स्टेबलकॉइन के मामले में, यह सिस्टम रियल-टाइम मॉनिटरिंग और अलर्ट प्रदान करता है, जिससे उपयोगकर्ता संबंधित धोखाधड़ी के जोखिम की पहचान कर सकते हैं।