- Một multisig 1-trong-3 bị xâm phạm đã cho phép kẻ tấn công tạo ra 13,5 triệu USD trị giá EURR và USDR trước khi chuyển đổi sang ETH.
- EURR giảm xuống khoảng $0,85 và USDR xuống khoảng $0,40 khi các token không được đảm bảo tràn ngập thị trường và thanh khoản sụp đổ.
- Blockaid cho rằng sự vi phạm là do thất bại trong quản trị, nhấn mạnh các rủi ro từ việc quản lý khóa yếu trong các hệ thống stablecoin.
Các stablecoin EURR và USDR của StablR đã mất liên kết sau một vụ khai thác liên quan đến ví multisig bị xâm phạm và việc tạo ra không được phép 13,5 triệu USD. Sự cố, được báo cáo vào cuối tuần, khiến các token được phát hành vượt quá số tài sản đảm bảo và nhanh chóng được bán tháo trên các sàn giao dịch phi tập trung. Theo nhà điều tra onchain ZachXBT, kẻ tấn công sau đó đã chuyển đổi một phần lớn thành ETH trong khi hệ thống vẫn đang hoạt động.
Khai thác Multisig gây ra lạm dụng việc đúc tiền
Công ty bảo mật Blockaid báo cáo rằng vụ xâm nhập xuất phát từ cấu hình multisig 1-trong-3 kiểm soát hợp đồng tạo ra StablR. Kẻ tấn công đã xâm phạm một bên ký và giành quyền kiểm soát quản trị.
Sau khi xâm nhập, kẻ tấn công đã thay thế những chủ sở hữu hiện tại và phát hành 8,35 triệu USDR và 4,5 triệu EURR. Điều này tạo ra khoảng 13,5 triệu USD tiền mã hóa không được đảm bảo trong những giờ đầu tiên của vụ khai thác.
Theo Blockaid, khoảng 10,4 triệu USD đã được hoán đổi thành ETH qua các sàn giao dịch phi tập trung. Tuy nhiên, trượt giá đã làm giảm lợi nhuận thực tế ban đầu xuống còn khoảng 2,8 triệu USD.
Đáng chú ý, kẻ tấn công cũng đã sử dụng quyền quản trị để đưa vào danh sách đen và đốt token. Các bản ghi trên chuỗi cho thấy khoảng 2,7 triệu EURR đã được rút khỏi một ví đang hoạt động trong các luồng hoàn trả bình thường.
EURR và USDR phá vỡ sự ổn định của mức cố định
EURR và USDR đều mất mức neo ngay sau khi vụ khai thác bắt đầu. EURR giảm xuống khoảng 0,85 USD, trong khi USDR giảm xuống thấp nhất là 0,40 USD trong quá trình giao dịch.
Theo dữ liệu từ CoinGecko, EURR giao dịch gần mức 0,85 USD sau cửa sổ tấn công. USDR sau đó phục hồi nhẹ nhưng vẫn duy trì ở mức thấp đáng kể so với ngang giá.
Trong khi đó, ZachXBT đã phát hiện sự cố trong quá trình hoạt động và theo dõi các chuyển động ví được tài trợ thông qua Giao thức Chuyển chéo chuỗi của Circle. Anh ấy cũng báo cáo việc đóng băng một phần quỹ trong khoảng thời gian khai thác.
StablR đã xác nhận sự cố vài giờ sau khi hoạt động trên chuỗi chậm lại. Công ty cho biết đang nỗ lực kiểm soát cuộc khai thác và đánh giá tác động đến hệ thống.
Rủi ro quản trị và bối cảnh thể chế
Blockaid cho rằng sự vi phạm là do thất bại trong quản trị và quản lý khóa, chứ không phải do lỗi hợp đồng thông minh. Ngưỡng chữ ký 1 trong 3 đã trở thành trọng tâm chính của phân tích bảo mật.
StablR trước đây được hỗ trợ bởi Tether và Kraken, định vị mình trong các thị trường stablecoin được quản lý tại châu Âu. Nhà phát hành hoạt động dưới giấy phép của cơ quan quản lý tài chính Malta.
Theo các tiết lộ trước đó, EURR và USDR đã xử lý hơn 3 tỷ euro khối lượng giao dịch vào đầu năm 2025. Các token này cũng đã được niêm yết trên hơn 50 sàn giao dịch với hơn 150 cặp giao dịch.
Sự cố này phù hợp với mô hình rộng hơn các cuộc khai thác năm 2026 liên quan đến quyền truy cập đặc quyền và sự thất bại trong quản trị trên các giao thức tiền điện tử.