StablR ha sospeso i servizi di emissione e di rimborso per i suoi stablecoin USDR ed EURR a seguito della rilevazione di una vulnerabilità critica del portafoglio multisignature. La violazione ha sfruttato una soglia di firma 1 su 3, consentendo agli aggressori di approvare unilateralmente transazioni di emissione.
L'investigatore blockchain ZachXBT ha pubblicamente segnalato attività irregolari legate a due indirizzi contrattuali su Ethereum nel corso del weekend. Un'analisi successiva ha confermato l'emissione non autorizzata di circa 8,35 milioni di USDR e 4,5 milioni di EURR, equivalenti a 13,5 milioni di dollari al peg.
Una liquidità limitata sugli exchange decentralizzati ha permesso agli aggressori di scaricare i token appena emessi, totalizzando circa 2,8 milioni di dollari dopo slippage e commissioni. USDR è temporaneamente sceso del 50% al di sotto del peg di 1 dollaro, per poi risalire a 0,994, mentre EURR è stato scambiato vicino a 0,548 rispetto a un benchmark in euro di 1,16 dollari.
Il CEO di StablR ha annunciato di aver notificato all'Autorità Maltese dei Servizi Finanziari (MFSA) ai sensi del Regolamento sull'Operatività Digitale (DORA) e del regime MiCA. Società esterne di cybersicurezza e agenzie delle forze dell'ordine si sono unite all'indagine per identificare gli attori minacciosi responsabili e valutare i rischi sistemici.
GoPlus Security ha valutato che l'exploit deriva da una configurazione non corretta del contratto multisig, dove una singola chiave privata compromessa bastava ad autorizzare l'emissione di token. Le mitigazioni raccomandate includono soglie di firma più elevate per le funzioni critiche, monitoraggio in tempo reale delle chiamate ai contratti e audit di sicurezza regolari.
L'incidente sottolinea le sfide in corso nella collateralizzazione delle stablecoin e nella sicurezza degli smart contract. Le parti interessate in giurisdizioni regolamentate potrebbero applicare una maggiore vigilanza sui controlli operativi e sulla gestione delle riserve man mano che si avvicinano le scadenze per l'implementazione di MiCA.
Commenti (0)