Stablecoin StablR perdono il peg dopo exploit da 2,8 milioni di dollari

Gli stablecoin in euro e dollari USA di StablR hanno perso il loro peg a seguito di un exploit da 2,8 milioni di dollari che ha preso di mira l'infrastruttura di minting dell'emittente. La società di sicurezza Blockaid ha identificato la causa principale nel compromesso della chiave privata di un singolo co-firmatario nel wallet multisig di minting del protocollo. La violazione ha permesso agli aggressori di manipolare l'offerta, innescando un panico immediato nei pool di liquidità decentralizzati.

Come ha fatto il compromesso di una singola chiave a rompere il peg? Nelle configurazioni multisig, il compromesso di una sola chiave può talvolta bypassare le soglie di sicurezza se combinato con vulnerabilità di smart contract o se la soglia è stata impostata troppo bassa. Una volta ottenuto l'accesso, l'aggressore ha coniato token non autorizzati e li ha immessi negli automated market maker (AMM). Questo improvviso afflusso di stablecoin non coperti ha rapidamente esaurito la liquidità disponibile, causando il crollo del tasso di cambio degli asset di StablR rispetto a stablecoin consolidati come USDC e EURC.

I dati on-chain mostrano che il token EurR, legato all'euro, è sceso fino a 0,90 dollari sui mercati secondari, mentre la sua controparte in dollari ha subito uno sconto simile. Gli arbitraggisti hanno tentato di sfruttare il divario, ma la mancanza di liquidità di rimborso diretta ha impedito qualsiasi rapido recupero. I trader stanno attualmente ritirando liquidità dai pool interessati per evitare impermanent loss, aggravando ulteriormente lo slippage per chiunque tenti di uscire dalle proprie posizioni.

Le vulnerabilità multisig continuano a plagare i protocolli DeFi che si basano sulla gestione delle chiavi off-chain. Sebbene i multisig siano progettati per distribuire la fiducia, rimangono vulnerabili ad attacchi di phishing mirati o di social engineering rivolti ai singoli detentori di chiavi. Per StablR, la sfida immediata non è solo quella di correggere lo smart contract, ma anche di ripristinare la garanzia collaterale che è stata drenata o diluita durante l'exploit.

Il team di StablR non ha ancora rilasciato un post-mortem completo o un piano di recupero per i detentori di asset colpiti. I partecipanti al mercato dovrebbero monitorare gli indirizzi deployer ufficiali del protocollo e i pool di liquidità di Curve per individuare eventuali segni di intervento di emergenza o rifornimento di collateral. Fino a quando non verrà annunciato un audit formale e un piano di salvataggio del tesoro, questi stablecoin probabilmente verranno scambiati con un forte sconto, servendo come un ulteriore monito sui rischi strutturali delle chiavi di minting centralizzate nella finanza decentralizzata.