Trang chủ
Tin tức
Chi tiết

StablR stablecoin mất peg sau cuộc tấn công, mất hơn 3 triệu USD

iconOdaily
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconTóm tắt

expand icon
Giao thức stablecoin StablR đã bị xâm phạm bảo mật vào ngày 24 tháng Năm, gây ra tình trạng mất liên kết 20% đối với EURR và USDR do việc tạo tiền trái phép hàng loạt. Những kẻ tấn công đã khai thác lỗ hổng chữ ký đơn trong ví đa chữ ký, rút hơn 3 triệu USD. Beosin đã xác định nguyên nhân là do an toàn vận hành kém, bao gồm quản lý khóa yếu và không có thời gian khóa cho các hành động rủi ro. Tổng cộng 8,35 triệu USDR và 4,5 triệu EURR đã được tạo ra, với số tiền bị đánh cắp được phân tán qua nhiều ví và chuyển đến Kraken, Huobi và WhiteBIT. Sự cố này nhấn mạnh nhu cầu cập nhật giao thức để ngăn chặn các cuộc tấn công tương tự.

Nguồn gốc: Beosin

Ngày 24 tháng 5, giao thức tiền ổn định StablR bị tấn công, khiến đồng tiền ổn định euro tuân thủ EURR và đồng tiền ổn định USD USDR do bị tạo ra trái phép với số lượng lớn, mất liên kết mạnh mẽ, giảm tới 20%, gây tổn thất thực tế vượt quá 3 triệu đô la Mỹ. Cuộc tấn công này xuất phát từ việc quản lý quyền hạn đa chữ ký mất kiểm soát, một lần nữa cảnh báo toàn bộ lĩnh vực tiền ổn định về tầm quan trọng của quản trị bảo mật.

Hình ảnh

Phân tích quy trình tấn công

StablR là nhà phát hành stablecoin có trụ sở tại Malta, trước đó Tether đã công bố đầu tư chiến lược vào StablR và cung cấp cho StablR các công cụ phát hành stablecoin và quản lý rủi ro thông qua nền tảng token hóa Hadron của mình. Hiện tại, StablR đã ra mắt hai sản phẩm stablecoin tuân thủ: EURR và USDR,

Bằng cách phân tích dữ liệu trên chuỗi, chúng ta có thể thấy:

Ví đa chữ ký kiểm soát việc đúc EURR là 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc

Ví đa chữ ký kiểm soát việc đúc USDR là

0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3

Do ví dụ ví đa chữ ký nêu trên chỉ cần 1 chữ ký để thực hiện giao dịch, kẻ tấn công đã kiểm soát địa chỉ owner 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d và thêm địa chỉ kẻ tấn công 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 vào hai ví đa chữ ký trên:

Hình ảnh

Related transaction hash:

(1) 0x41c2504e208a3f260b2564393938b6e68f7348f5fcb8df00cde41f800f073c8a

(2) 0x5b5825ca36f4cdad02b1c777df63115e63010de77de71dba0ac60160c18100de

Qua quy trình trên, chúng ta có thể thấy sự kiện này không liên quan đến lỗ hổng mã nguồn, mà là vấn đề an toàn vận hành của bên phát hành stablecoin: không lưu trữ an toàn khóa riêng của địa chỉ đặc quyền, không sử dụng chữ ký đa bên với ngưỡng cao cho các thao tác có giá trị cao/rủi ro cao, không áp dụng thời gian khóa cho các thao tác đúc số lượng lớn, và thiếu cơ chế phản ứng khẩn cấp nhanh chóng.

Sau khi giành được quyền đúc tiền tại địa chỉ kẻ tấn công 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1, kẻ tấn công đã bắt đầu đúc tiền quy mô lớn và gửi các stablecoin được đúc đến nhiều địa chỉ:

Hình ảnh

Theo Beosin thống kê, tổng cộng đã đúc 8,35M USDR và 4,5M EURR, liên kết tra cứu đúc tiền liên quan: https://etherscan.io/advanced-filter?fadd=0x0000000000000000000000000000000000000000&tadd=0x0000000000000000000000000000000000000000&tkn=0x7b43e3875440b44613dc3bc08e7763e6da63c8f8%2c0x50753cfaf86c094925bf976f218d043f8791e408&ps=50

Phân tích luồng tiền bị đánh cắp

Tổn thất thực tế do sự kiện này gây ra vượt quá 3 triệu đô la Mỹ. Sau khi đúc tiền, địa chỉ nhận chính là:

1、0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1

(Địa chỉ này đã nhận tổng cộng 1.000.000 EURR)

2、0xBb64302c6F039D4aa800CAc93E6E54856958675D

(Địa chỉ này đã nhận tổng cộng 4.000.535,33 EURR và 4.610.173,19 USDR; số dư hiện tại: 324.163,04 USDR và 1.204.098,63 EURR)

3、0xeA480c23D7B29a515856AafE0dc86F7519965a04

(Địa chỉ này đã nhận tổng cộng 412,67 ETH, 2.575.966,87 USDR, 650.000 EURR)

4、0x5D2184d84b82B67c1818Bbec8ce81E7Df14F6bAb

(Địa chỉ này đã nhận tổng cộng 235,92 ETH, 700.000 EURR, 200.000 USDR)

5、0x41E63c5d2AE95802868D9ef3686cC974aDA96d0d

(Địa chỉ này đã nhận tổng cộng 225,54 ETH, 4.000.000 USDR, 1.000.000 EURR)

6、0x873Ef45d10b29EB251b1Eb5Fe057C325f092a80a

(Địa chỉ này đã nhận tổng cộng 2.000.000 USDR; lượng đang tích lũy hiện tại: 1.969.000 USDR)

7、0x8c1957765721e2540c03A0D64435a469a7266c51

(Địa chỉ này đã nhận tổng cộng 1.400.000 USDR, 1.400.000 EURR; lượng tồn đọng hiện tại: 900.000 EURR, 900.000 USDR)

8、0x865eC0587CdF305877783C080d97DEdD4f60398f

(Địa chỉ này đã nhận tổng cộng 504.000 USDR)

Qua phân tích của Beosin Trace, một phần EURR và USDR được đúc bất hợp pháp đã được chuyển đến các sàn giao dịch khác nhau thông qua phương thức phân tán vốn, chẳng hạn như ChangeNOW, Kraken, Huobi, WhiteBIT, v.v., một lượng nhỏ vốn đã vào máy trộn Tornado Cash.

Beosin Trace có thể xuyên thấu các trao đổi hỗn hợp như Tornado Cash và ChangeNOW, Fixedflow, kết quả xuyên thấu liên quan được hiển thị như sau:

Hình ảnh

Hình ảnh

Ngoại trừ số vốn được chuyển vào các sàn tập trung, tình hình tích lũy vốn trên chuỗi là:

1. 0x09be1a36c2d7f9909eb3d6f9184c6e46a12b0aca

Số tiền tích lũy: 1,488.08 ETH

2. 0x464545b1f001ec64f93a31a8e678bfbd3146ef3f

Số tiền tích lũy: 510,673.98 USDR, 44,000 EURR

3. 0x9c25a3634fa04a8bac72e233c74469d5e15c5926

Số tiền tích lũy: 85,21 ETH, 15.263,22 USDT, 101.241,95 EURR

4. 0x2e74a82f6dbdfbe8fe54bd081e215c0c368c7762

Số tiền tích lũy: 8.91 ETH, 26.816,98 USDT, 250.570,03 EURR

5. 0xde7adbb368c2616df8c5c0e986933bee8f660add

Số tiền ký quỹ: 13.65 ETH, 165.162,05 USDT, 38.696,42 USDR, 258.117,67 EURR

6. 0x0bc0b7b24876ac97610346ea0194735ccc271edd

Số tiền gửi: 100 ETH

7. 0xb8d90cffe9fdb398afec7046490d1efdb28a6386

Số tiền ký quỹ: 100.000 USDR

8. 0x7ec05d1d6b0cbf4e74bd5907d01aeeb4343c6376

Số tiền ký quỹ: 15 ETH

Dòng tiền tổng thể được hiển thị như sau:

Hình ảnh

Biểu đồ phân tích luồng vốn bị đánh cắp bởi Beosin Trace

Sự cố bảo mật này chứng minh rằng việc kiểm toán mã không thể giải quyết các khuyết điểm trong vận hành/quản trị; các bên phát hành stablecoin và cơ quan quản lý nên xem xét chủ động giám sát việc lưu thông và vận hành của stablecoin trên thị trường thứ cấp dựa trên mức độ rủi ro. Nhằm giải quyết điểm nghẽn ngành này, Beosin đã ra mắt hệ thống giám sát stablecoin (Stablecoin Monitoring) bao gồm toàn bộ vòng đời của stablecoin: hệ thống này hỗ trợ giám sát liên tục các chỉ số vận hành then chốt như tổng lượng phát hành stablecoin, các hành vi đúc và tiêu hủy, phân bố địa chỉ nắm giữ, và dòng giao dịch trên chuỗi.

Hình ảnh

Trong giai đoạn lưu thông, Stablecoin Monitoring sẽ kết hợp phân tích biến động giá và tình trạng neo giá để phát hiện kịp thời các rủi ro tách neo do thao túng thị trường hoặc khủng hoảng thanh khoản, nhằm ứng phó với các kịch bản tấn công như trong sự kiện StablR, khi khóa riêng bị rò rỉ dẫn đến việc tạo ra hàng loạt stablecoin độc hại; đồng thời có khả năng theo dõi hoạt động xuyên chuỗi, cho phép theo dõi luồng vốn trên các blockchain khác nhau. Đối với các stablecoin giả mạo được phát hành trên chuỗi, hệ thống này cung cấp giám sát và cảnh báo thời gian thực, giúp người dùng nhận diện các rủi ro gian lận liên quan.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.