Головна
Новини
Детальніше

Стейблкоїн StablR втратив прив’язку до курсу після атаки, втрачено понад 3 мільйони доларів США

iconOdaily
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconКороткий зміст

expand icon
Протокол стейблкоїну StablR постраждав від порушення безпеки 24 травня, що спричинило відхилення на 20% для EURR та USDR через незаконне масове створення. Зловмисники використали вразливість однієї підпису у мультіпідписових гаманцях, вивівши понад 3 мільйони доларів США. Beosin встановив, що експлойт був пов’язаний із поганою операційною безпекою, зокрема слабким управлінням ключами та відсутністю тайм-локів для ризикованих дій. Було створено загалом 8,35 мільйона USDR та 4,5 мільйона EURR, а вкрадені кошти були розподілені між кількома гаманцями та відправлені на Kraken, Huobi та WhiteBIT. Цей інцидент підкреслює необхідність оновлення протоколу для запобігання подібним атакам.

Джерело: Beosin

24 травня протокол стабільних монет StablR зазнав атаки: його випущені регуляторні євро-стабільні монети EURR та доларові стабільні монети USDR через незаконне масове створення втратили прив’язку, що призвело до падіння на 20%, а реальні збитки перевищили 3 мільйони доларів США. Атака виникла через втрату контролю над правами багатопідписової підписки, що знову нагадує всьому сектору стабільних монет про важливість безпеки та управління.

Зображення

Аналіз процесу атаки

StablR — це випусник стабільних монет зі штаб-квартирою у Мальті, раніше Tether оголосив про стратегічні інвестиції в StablR та надав StablR інструменти для випуску стабільних монет та управління ризиками через свою платформу Hadron. Зараз StablR запустила два відповідні продукти стабільних монет: EURR та USDR,

Аналізуючи дані ланцюга, ми можемо побачити:

Контрольний мультипідписний гаманець для чеканки EURR: 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc

Контрольний мультипідписний гаманець для чіплення USDR —

0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3

Оскільки для запуску транзакції з вищезазначених мультипідписних гаманців достатньо одного підпису, атакувач, контролюючи адресу власника 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, додав адресу атакувача 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 до вищезазначених двох мультипідписних гаманців:

Зображення

Відповідний хеш транзакції:

(1) 0x41c2504e208a3f260b2564393938b6e68f7348f5fcb8df00cde41f800f073c8a

(2) 0x5b5825ca36f4cdad02b1c777df63115e63010de77de71dba0ac60160c18100de

З наведеного вище процесу видно, що ця подія не пов’язана з вадами коду, а з проблемами безпеки операторів стабільної монети: не збережено приватні ключі привілейованих адрес, для операцій з високою вартістю/високим ризиком не використовувалося багатопідписове підписання з високим порогом, для великих операцій з випуску монет не застосовувалося часove блокування, а також відсутній механізм швидкої реагування на надзвичайні ситуації.

Після отримання прав на випуск на адресі зловмисника 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1, зловмисник розпочав масовий випуск та надсилання випущених стабільних монет на кілька адрес:

Зображення

За даними Beosin, було відлито 8,35M USDR та 4,5M EURR, посилання на перевірку відлитих монет: https://etherscan.io/advanced-filter?fadd=0x0000000000000000000000000000000000000000&tadd=0x0000000000000000000000000000000000000000&tkn=0x7b43e3875440b44613dc3bc08e7763e6da63c8f8%2c0x50753cfaf86c094925bf976f218d043f8791e408&ps=50

Аналіз напрямків втечі вкрадених коштів

Фактичні збитки від цієї події перевищили 3 мільйони доларів США. Після чеканки основний адресат:

1、0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1

(На цей адрес було надіслано 1 000 000 EURR)

2、0xBb64302c6F039D4aa800CAc93E6E54856958675D

(На цей адрес було отримано 4 000 535,33 EURR та 4 610 173,19 USDR; поточна сума: 324 163,04 USDR та 1 204 098,63 EURR)

3. 0xeA480c23D7B29a515856AafE0dc86F7519965a04

(На цей адрес було надіслано 412,67 ETH, 2 575 966,87 USDR, 650 000 EURR)

4、0x5D2184d84b82B67c1818Bbec8ce81E7Df14F6bAb

(На цей адрес було надіслано 235,92 ETH, 700 000 EURR, 200 000 USDR)

5、0x41E63c5d2AE95802868D9ef3686cC974aDA96d0d

(На цей адрес було надіслано 225,54 ETH, 4 000 000 USDR, 1 000 000 EURR)

6. 0x873Ef45d10b29EB251b1Eb5Fe057C325f092a80a

(На цей адрес було надіслано 2 000 000 USDR; поточна сума: 1 969 000 USDR)

7. 0x8c1957765721e2540c03A0D64435a469a7266c51

(На цей адрес було надіслано 1 400 000 USDR, 1 400 000 EURR; поточна сума: 900 000 EURR, 900 000 USDR)

8、0x865eC0587CdF305877783C080d97DEdD4f60398f

(На цей адрес було надіслано 504 000 USDR)

За аналізом Beosin Trace, незаконно випущені EURR і USDR частково були переведені на різні біржі, такі як ChangeNOW, Kraken, Huobi, WhiteBIT тощо, за допомогою розподілення коштів, а невелика кількість коштів потрапила до міксеру Tornado Cash.

Beosin Trace може проникати через змішувачі, такі як Tornado Cash та ChangeNOW, Fixedflow, і інші обмінники, результати проникнення наведено нижче:

Зображення

Зображення

Крім коштів, що були переведені на централизовані біржі, стан збереження коштів у ланцюзі такий:

1. 0x09be1a36c2d7f9909eb3d6f9184c6e46a12b0aca

Сума депозиту: 1 488,08 ETH

2. 0x464545b1f001ec64f93a31a8e678bfbd3146ef3f

Сума осідланих коштів: 510 673,98 USDR, 44 000 EURR

3. 0x9c25a3634fa04a8bac72e233c74469d5e15c5926

Сума осідланих коштів: 85,21 ETH, 15 263,22 USDT, 101 241,95 EURR

4. 0x2e74a82f6dbdfbe8fe54bd081e215c0c368c7762

Сума осідланих коштів: 8,91 ETH, 26 816,98 USDT, 250 570,03 EURR

5. 0xde7adbb368c2616df8c5c0e986933bee8f660add

Обсяг засобів: 13,65 ETH, 165 162,05 USDT, 38 696,42 USDR, 258 117,67 EURR

6. 0x0bc0b7b24876ac97610346ea0194735ccc271edd

Сума осідлання: 100 ETH

7. 0xb8d90cffe9fdb398afec7046490d1efdb28a6386

Сума осідланих коштів: 100 000 USDR

8. 0x7ec05d1d6b0cbf4e74bd5907d01aeeb4343c6376

Сума осідланих коштів: 15 ETH

Загальний потік коштів показано на наведеному нижче графіку:

Зображення

Графік аналізу напрямків втечі вкрадених коштів від Beosin Trace

Ця подія безпеки доводить, що аудит коду не може вирішити проблеми в операціях/управлінні; випускники стейблкоїнів та регулятори повинні розглянути можливість активного моніторингу обігу та операцій стейблкоїнів на вторинному ринку на основі ризиків. Щодо цього галузевого виклику, Beosin запровадив систему моніторингу стейблкоїнів (Stablecoin Monitoring), що охоплює весь життєвий цикл стейблкоїнів: ця система підтримує постійний моніторинг ключових операційних показників, таких як загальна кількість випущених стейблкоїнів, дії з випуску та знищення, розподіл адрес з балансами та ланцюгові транзакційні потоки.

Зображення

На етапі обігу Stablecoin Monitoring поєднує аналіз волатильності цін та стану прив’язки, щоб вчасно виявляти ризики відмінності від прив’язки, викликані маніпуляціями на ринку або кризами ліквідності, для захисту від сценаріїв атак, таких як масове зловживальне створення стейблкоїнів після витоку приватного ключа, як у випадку StablR; крім того, система має здатність відстежувати міжланцюгову активність, дозволяючи відстежувати потоки коштів через різні блокчейни. Для фальшивих стейблкоїнів, що випускаються на ланцюзі, система забезпечує моніторинг у реальному часі та сповіщення, що допомагає користувачам виявляти пов’язані ризики шахрайства.

Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.