Когда регулирование не спасает от глупых ошибок
Европейский регламент по регулированию криптоактивов (MiCA) долгое время преподносился как золотой стандарт безопасности для индустрии. Однако недавний инцидент с мальтийским эмитентом стейблкоинов StablR наглядно показал: даже самый строгий закон бессилен перед элементарной халатностью в управлении ключами доступа.
В минувшее воскресенье проект подвергся сокрушительной атаке. Злоумышленник воспользовался критической уязвимостью в настройках безопасности и выпустил миллионы необеспеченных токенов, после чего мгновенно вывел средства через децентрализованные биржи (DEX). Результатом стал мгновенный крах курсов стейблкоинов проекта.
Что пошло не так?
В отличие от большинства громких взломов в сфере DeFi, этот инцидент не был связан с ошибкой в коде смарт-контракта. Проблема крылась в человеческом факторе и архитектуре управления. Хакер получил доступ к одному-единственному приватному ключу, который управлял мультисиг-кошельком (кошельком с мультиподписью) по схеме 1-из-3. С его помощью он удалил легитимных владельцев, добавил свой адрес и запустил бесконтрольную печать токенов.
Анатомия катастрофы в цифрах
Получив контроль над функцией выпуска (минтинга), атакующий не стал терять времени. Он напечатал огромные объемы токенов USDR и EURR, не имеющих реального долларового или еврового обеспечения, и выбросил их в пулы ликвидности на DEX.
Последствия атаки в цифрах:
- Выпущено необеспеченных токенов: 8,35 млн USDR и 4,5 млн EURR.
- Общая номинальная стоимость эмиссии: около 10,4 млн долларов.
- Реальный ущерб (выведенная ликвидность): 1 115 ETH (приблизительно 2,8 млн долларов).
- Падение курса EURR: до $0.85 (-24%).
- Падение курса USDR: до $0.40 на минимуме (-36% за день).
«Настройка мультисига по схеме 1-из-3 для контракта эмиссии — это, по сути, отсутствие мультисига как такового», — комментирует независимый исследователь блокчейн-безопасности. «Если для подтверждения транзакции достаточно всего одной подписи из трех, то безопасность всей системы зависит от самого слабого звена. Это фундаментальный провал в управлении ключами».
Почему MiCA не защитила инвесторов?
Проект StablR активно продвигал свои продукты как полностью регулируемые и соответствующие жестким европейским стандартам MiCA. Они регулярно публиковали отчеты о подтверждении резервов (Proof-of-Reserves) и позиционировали себя как надежный мост между традиционными финансами и миром Web3.
Однако правила MiCA в их нынешнем виде фокусируются на юридической структуре, аудите резервов и защите прав потребителей, но практически не регулируют технические стандарты кибербезопасности и правила хранения ключей (OpSec). Этот прецедент может заставить европейских регуляторов пересмотреть свои требования к технологическому аудиту криптокомпаний.
Хронология событий
- Воскресенье, утро: Хакер компрометирует один из трех ключей администратора.
- 8:10 AM ET: Команда StablR официально признает факт атаки в соцсети X.
- В течение дня: Курсы EURR и USDR теряют привязку к фиатным валютам из-за массовых распродаж на DEX.
- Вечер: Сообщество обсуждает масштаб потерь, варьирующийся от реальных $2,8 млн до номинальных $10,4 млн.
К счастью для глобального рынка, этот инцидент носит локальный характер. Крупнейшие стейблкоины вроде USDT и USDC никак не пострадали, а общая рыночная ликвидность практически не заметила падения StablR. Тем не менее, для индустрии это очередной жесткий урок: доверие пользователей строится на технологической дисциплине, а не на красивых лицензиях.
Часто задаваемые вопросы (FAQ)
Что случилось со стейблкоинами StablR?
Злоумышленник взломал один из ключей управления проектом и напечатал миллионы необеспеченных токенов EURR и USDR, после чего продал их на децентрализованных биржах, что привело к потере паритета (депегу) этих монет.
Почему схема 1-из-3 оказалась уязвимой?
При такой настройке для совершения любого действия (включая выпуск новых токенов) требуется подпись лишь одного из трех доверенных адресов. Завладев одним ключом, хакер получил полный контроль над системой.
Пострадали ли другие стейблкоины, например USDT или USDC?
Нет, данный инцидент затронул исключительно экосистему StablR. Крупные игроки рынка работают по совершенно иным стандартам безопасности и не имеют отношения к этой уязвимости.
