#StablRStablecoinDepegsAfterExploit

Ini adalah contoh klasik dan menyakitkan dari "pemerintahan yang hanya namanya saja terdesentralisasi" yang kembali menghukum sebuah proyek. Ketika sebuah protokol menggunakan multisig 1-dari-3 untuk sesuatu yang sangat penting seperti hak pencetakan, itu sama sekali mengalahkan tujuan memiliki dompet multisig sejak awal.

Berikut adalah rincian tentang apa yang salah, bagaimana penyerang mengekstrak dana, dan mengapa "keuntungan" tersebut jauh lebih rendah dari nilai nominal token.

Bagaimana Serangan Terjadi

Eksploitasi ini pada dasarnya adalah kegagalan manajemen kunci daripada kerentanan kode. Karena kontrak hanya membutuhkan satu tanda tangan dari tiga untuk mengeksekusi transaksi, mengompromikan satu kunci pribadi memberi penyerang kunci penuh ke kerajaan.

Perkembangan Serangan

Langkah 1: Kompromi & Pengambilalihan Kunci: Penyerang mendapatkan akses ke salah satu dari tiga kunci pribadi. Dengan menggunakan tanda tangan tunggal ini, mereka mengeksekusi perintah admin untuk menambahkan alamat mereka sendiri sebagai pemilik dan sepenuhnya menghapus dua penandatangan yang sah lainnya.

Langkah 2: Pencetakan Tanpa Jaminan: Dengan kendali penuh atas kontrak pencetakan, mereka langsung mencetak 8,35 juta USDR dan 4,5 juta EURR tanpa menyediakan jaminan apapun.

Langkah 3: Dump di DEX: Penyerang buru-buru ke bursa terdesentralisasi (DEX) untuk menukar token tanpa jaminan tersebut dengan Ethereum (ETH).

Slippage dan Likuiditas Tipis: Potongan $7,6 Juta

Penyerang mencetak nilai nominal gabungan sekitar $10,4 juta pada nilai patokan. Namun, mereka hanya pergi dengan sekitar 1.115 ETH (sekitar $2,8 juta).

Mengapa perbedaan besar ini? Likuiditas tipis.

Pool stablecoin di DEX bergantung pada likuiditas yang dalam untuk menjaga harga pembuat pasar otomatis (AMM). Karena pool StablR relatif dangkal, pesanan jual besar dan mendadak dari penyerang sepenuhnya membanjiri likuiditas yang tersedia. Ini memicu slippage harga ekstrem, secara efektif merusak nilai token yang mereka coba cairkan selama swap itu sendiri.
Nuansa Regulasi (MiCA)

Yang membuat ini cukup menarik adalah posisi StablR sebagai penerbit yang diatur secara Eropa dan sesuai dengan MiCA. Regulasi Pasar dalam Aset Kripto (MiCA) memberlakukan aturan ketat tentang cadangan, persyaratan modal, dan audit.

Namun, seperti yang ditunjukkan oleh perusahaan keamanan Blockaid, audit kepatuhan regulasi standar umumnya fokus pada cadangan keuangan dan struktur hukum daripada keamanan operasional teknis secara real-time (OpSec). Kepatuhan hukum tidak otomatis sama dengan keamanan kriptografi struktural; struktur multisig 1-dari-3 adalah titik kegagalan tunggal yang mencolok terlepas dari seberapa patuh perusahaan yang bersangkutan secara dokumen.
‍$ETH