- Multisig 1-dari-3 yang disusupi membolehkan penyerang mencetak $13.5 juta dalam EURR dan USDR sebelum menukar kepada ETH.
- EURR turun kepada ~$0.85 dan USDR kepada ~$0.40 apabila token tanpa sokongan membanjiri pasaran dan likuiditi runtuh.
- Blockaid mengaitkan pelanggaran tersebut kepada kegagalan tata pentadbiran, menonjolkan risiko daripada pengurusan kunci yang lemah dalam sistem koin stabil.
Koin stabil StablR, EURR dan USDR, kehilangan peg mereka selepas eksploit yang melibatkan dompet multisig yang disusupi dan pencetakan tidak sah sebanyak $13.5 juta. Kejadian ini, dilaporkan pada hujung minggu, melihat token dikeluarkan melebihi sokongan dan segera dijual di bursa terdesentralisasi. Menurut penyelidik onchain ZachXBT, penyerang kemudian menukar sebahagian besar menjadi ETH semasa sistem masih aktif.
Pengeksploitasian Multisig Memicu Penyalahgunaan Pencetakan
Syarikat keselamatan Blockaid melaporkan bahawa pelanggaran tersebut berasal daripada pengaturan multisig 1-daripada-3 yang mengawal kontrak pencetakan StablR. Penyerang mengompromikan salah satu penandatangan dan mendapat kawalan pentadbiran.
Selepas akses, penyerang menggantikan pemilik yang sedia ada dan mencetak 8.35 juta USDR dan 4.5 juta EURR. Ini mencipta sebanyak $13.5 juta dalam token tanpa sokongan semasa jam-jam awal eksploit.
Menurut Blockaid, sebanyak kira-kira $10.4 juta telah ditukar kepada ETH melalui bursa terdesentralisasi. Namun, slippage mengurangkan keuntungan yang direalisasikan awal kepada kira-kira $2.8 juta.
Secara ketara, penyerang juga menggunakan hak pentadbiran untuk senarai hitam dan membakar token. Rekod onchain menunjukkan sebanyak 2,7 juta EURR dikeluarkan daripada dompet yang aktif dalam aliran penebusan biasa.
EURR dan USDR Membreak Kestabilan Peg
EURR dan USDR kedua-duanya kehilangan peg mereka tidak lama selepas eksploit bermula. EURR turun kepada sekitar $0.85, manakala USDR jatuh sehingga $0.40 semasa perniagaan.
Menurut data CoinGecko, EURR diperdagangkan dekat $0.85 selepas jendela serangan. USDR kemudian pulih sedikit tetapi tetap jauh di bawah pariti.
Sementara itu, ZachXBT menandai insiden tersebut semasa aktiviti berterusan dan melacak pergerakan dompet yang dibiayai melalui Protokol Pindah Silang Circle. Beliau juga melaporkan penangguhan sebahagian dana semasa jendela eksploitasi.
StablR mengesahkan insiden tersebut beberapa jam selepas aktiviti onchain melambat. Syarikat tersebut menyatakan ia sedang berusaha mengawal eksploitasi dan menilai kesan terhadap sistem.
Risiko Tata Kelola dan Latar Belakang Institusi
Blockaid mengaitkan pelanggaran tersebut kepada kegagalan tata pentadbiran dan pengurusan kunci, bukan kepada ralat kontrak pintar. Ambang tanda tangan 1-daripada-3 menjadi fokus utama analisis keselamatan.
StablR sebelum ini memiliki sokongan dari Tether dan Kraken, menempatkannya di pasaran koin stabil Eropah yang dirgikan. Penerbit beroperasi di bawah lesen daripada regulator kewangan Malta.
Menurut pengumuman sebelumnya, EURR dan USDR memproses lebih daripada €3 bilion dalam isi padu transaksi pada awal 2025. Token-token ini juga disenaraikan di lebih daripada 50 bursa dengan lebih daripada 150 pasangan dagangan.
Kejadian ini sejajar dengan corak luas serangan tahun 2026 yang melibatkan akses istimewa dan kegagalan tata pentadbiran di pelbagai protokol kripto.