บทนำ
ผู้ให้บริการโครงสร้างพื้นฐานสเตเบิลคอยน์ในยุโรป StablR ประสบเหตุการณ์รั่วไหลด้านความปลอดภัยรุนแรง หลังจากผู้ไม่ประสงค์ดีเข้าถึงชั้นการบริหารจัดการ (administrative governance) ที่ควบคุมสัญญาอัจฉริยะหลักของแพลตฟอร์มบนเครือข่าย Ethereum mainnet ตามรายงานของบริษัทวิเคราะห์ข้อมูลบนบล็อกเชน Blockaid ผู้โจมตีใช้ประโยชน์จากการตั้งค่า multi-signature แบบ 1 ใน 3 ที่อ่อนแอ เพื่อยึดการควบคุมฟังก์ชันการมินต์ของแพลตฟอร์ม สร้างโทเค็น USDR จำนวน 8.35 ล้านยูนิต และ EURR จำนวน 4.5 ล้านยูนิต โดยไม่มีหลักประกันรองรับทั้งหมด เหตุการณ์ดังกล่าวทำให้ตลาดเกิดภาวะ depeg อย่างรุนแรง โดย USDR ร่วงลงเหลือ 70 เซนต์ และ EURR ลดลง 12% ไปอยู่ราว 88 เซนต์ ส่งผลให้ระบบการแลกคืนมาตรฐานบน decentralized exchanges ถูกแช่แข็ง
กลไกการรั่วไหล: คีย์ส่วนตัวที่ถูกบุกรุกและการตั้งค่า multi-signature ที่อ่อนแอ
นักสืบสวนด้านความปลอดภัยบนบล็อกเชนยืนยันว่าต้นเหตุเกิดจากเกณฑ์ (threshold) การบริหารจัดการที่ไม่เพียงพอ ระบบออกสินทรัพย์ (asset issuance) หลักของ StablR ใช้โมเดล multi-signature แบบ 1 ใน 3 ซึ่งหมายความว่าผู้โจมตีเพียงต้องบุกรุกคีย์ผู้ลงนามเชิงคริปโตเพียงหนึ่งคีย์ เพื่อให้ได้สิทธิ์ควบคุมการบริหารโดยสมบูรณ์ แทนที่จะมองหาช่องโหว่ในตรรกะการทำธุรกรรมของโปรโตคอล ผู้โจมตีมุ่งเป้าไปที่การบุกรุกโครงสร้างพื้นฐานคีย์ส่วนตัวของแพลตฟอร์ม เมื่อพวกเขาได้คีย์เพียงคีย์เดียวแล้ว ก็ปรับค่าพารามิเตอร์ของวอลเล็ตเพื่อแยกผู้ลงนามที่เหลือซึ่งเป็นฝ่ายที่ถูกต้องออกจากกลไกการกำกับดูแล จึงล็อกการเข้ายึดครองเชิงโครงสร้างของแพลตฟอร์ม
การมินต์โทเค็นที่ไม่มีหลักประกันและการระบายสินทรัพย์
เมื่อคีย์การมินต์ถูกยึดไว้ได้ ผู้บุกรุกได้สร้าง USDR จำนวน 8.35 ล้านยูนิต และ EURR จำนวน 4.5 ล้านยูนิตอย่างเป็นระบบ โดยหลีกเลี่ยงข้อกำหนดการตรวจสอบหลักประกันเงินตราแบบสถาบันทั้งหมด มูลค่ารวมของการออกโทเค็นที่ไม่มีหลักประกันอยู่ที่ราว 12.85 ล้านดอลลาร์สหรัฐในสินทรัพย์ดิจิทัลที่สร้างขึ้นเทียม
ผลกระทบต่อราคาและภาวะ depeg
การนำสเตเบิลคอยน์ที่ไม่มีหลักประกันจำนวนมากเข้าสู่ตลาดรองอย่างฉับพลันทำให้เกิดวิกฤตสภาพคล่องรุนแรง ผู้โจมตีเทขายโทเค็นที่สร้างขึ้นอย่างผิดกฎหมายทันทีผ่านพูลตลาดแบบอัตโนมัติ (automated market pools) จนถล่ม decentralized exchanges เช่น Curve Finance แรงกดดันจากการขายที่กระจุกตัวทำให้ USDR ร่วงลงต่ำกว่าระดับแนวรับเดิม และไปแตะจุดต่ำสุดที่ 70 เซนต์ ขณะเดียวกัน EURR ก็หดตัวอย่างรุนแรงเช่นกัน ลดลงมากกว่า 12% จนแกว่งใกล้ 88 เซนต์ การเกิด depeg อย่างรุนแรงทำให้ลูปการแลกคืนมาตรฐานถูกตรึง และแสดงให้เห็นว่า ความเปราะบางของชั้นการกำกับดูแลเชิงบริหารสามารถทำให้ความปลอดภัยที่คาดหวังของเครื่องมือดิจิทัลที่มีหลักประกันถูกทำให้เป็นกลางได้ภายในไม่กี่นาที
