開始
ブロックチェーン分析企業 Blockaid によると、欧州のステーブルコイン基盤インフラ提供企業 StablR は、イーサリアムメインネット上でプラットフォームの主要スマートコントラクトを管理する管理ガバナンス層が不正な関係者に侵害されたことで、重大なセキュリティ侵害を受けました。攻撃者らは、脆弱な 3-of-1 のマルチシグ設定(3つ中1つ)を悪用してプラットフォームのミント機能の支配を獲得し、担保裏付けなしで 8.35 million USDR と 4.5 million EURR のトークンを完全に生成しました。この侵害は急激な市場デペッグを引き起こし、USDR は 70 セントまで崩落し、EURR も 12 percent 下落して約 88 セントとなり、分散型取引所全体で標準的な償還メカニズムが凍結されました。
侵害の仕組み:侵害されたプライベートキーと弱いマルチシグ設定
ブロックチェーンのセキュリティ調査者は、根本原因が不十分な管理ガバナンスの閾値にあると確認しました。StablR の中核となる資産発行パイプラインは 3-of-1 のマルチシグ設定モデルで運用されており、攻撃者は完全な管理権限を得るために、暗号署名者キーを1つだけ侵害すればよい状態でした。攻撃者らは、プロトコルの取引ロジックにおける脆弱性を見つけるのではなく、プラットフォームのプライベートキー基盤の侵害に注力しました。攻撃者が1つのキーを入手すると、残りの正当な署名者をガバナンス機構から切り離すようにウォレットのパラメータを再設定し、プラットフォームの構造的乗っ取りを確定させました。
担保なしトークンのミントと資産流出
ミントキーの支配を確保したことで、悪用者らは機関投資家向けの法定通貨担保の検証要件をすべて回避しながら、系統立てて 8.35 million USDR と 4.5 million EURR を生成しました。担保なしの発行総額は、約 $12.85 million の人工的なデジタル資産に達しました。
市場への影響とデペッグ
無担保のステーブルコインがサブ市場へ突然注入されたことで、深刻な流動性危機が発生しました。攻撃者らは、違法に生成されたトークンを自動マーケットプール全体で直ちに投げ売りし、Curve Finance のような分散型取引所を圧倒しました。集中した売り圧力により、USDR は従来のサポート水準を下回って崩れ、70 セントまで下落しました。同時に、EURR も同様に壊滅的な収縮を起こし、12 percent 以上下落して 88 セント近辺で推移しました。激しいデペッグは標準的な償還ループを凍結し、管理ガバナンス層の脆弱性が、資産担保型のデジタル・インストゥルメントに対する安全性の認識を数分で無力化し得ることを示しました。
