#StablRStablecoinDepegsAfterExploit

هذا مثال كلاسيكي ومؤلم على "الحوكمة باسم فقط" التي تعود لتؤذي مشروعًا. عندما يستخدم بروتوكول توقيع متعدد من واحد من ثلاثة لأمر حاسم مثل حقوق التوريد، فإنه يقضي تمامًا على هدف وجود محفظة توقيع متعدد في المقام الأول.

إليك تحليل لما حدث بشكل خاطئ، كيف استخرج المهاجم الأموال، ولماذا كانت "الأرباح" أقل بكثير من القيمة الاسمية للرموز.

كيف تطورت الهجمة

كان الاستغلال في الأساس فشلًا في إدارة المفاتيح أكثر من كونه ثغرة برمجية. لأنه يتطلب توقيع واحد فقط من ثلاثة لتنفيذ المعاملات، فإن اختراق مفتاح خاص واحد أعطى المهاجم مفاتيح كاملة للمملكة.

تقدم الهجمة

الخطوة 1: اختراق المفتاح والسيطرة: حصل المهاجم على وصول إلى أحد المفاتيح الخاصة الثلاثة. باستخدام هذا التوقيع الوحيد، نفذ أمرًا إداريًا لإضافة عنوانه الخاص كمالك وإزالة الموقعين الشرعيين الآخرين تمامًا.

الخطوة 2: التوريد غير المدعوم: مع السيطرة الكاملة على عقد التوريد، قام فورًا بتوريد 8.35 مليون USDR و4.5 مليون EURR دون تقديم أي ضمانات.

الخطوة 3: تصفية البورصة اللامركزية: سارع المهاجم إلى البورصات اللامركزية (DEXs) لمبادلة الرموز غير المدعومة بالإيثريوم (ETH).

الانزلاق والسيولة الضعيفة: خصم 7.6 مليون دولار

قام المهاجم بتوريد قيمة اسمية مجمعة تقارب 10.4 مليون دولار عند السعر الثابت. ومع ذلك، غادر فقط بما يقارب 1,115 ETH (حوالي 2.8 مليون دولار).

لماذا الفارق الكبير؟ السيولة الضعيفة.

تستند تجمعات العملات المستقرة على DEXs إلى سيولة عميقة للحفاظ على تسعير صانع السوق الآلي (AMM). نظرًا لأن تجمعات StablR كانت ضحلة نسبيًا، فإن أوامر البيع المفاجئة والكبيرة للمهاجم أغرقت السيولة المتاحة تمامًا. أدى ذلك إلى انزلاق سعر شديد، مما أدى فعليًا إلى انهيار قيمة الرموز التي كانوا يحاولون تصفيتها أثناء عملية المبادلة نفسها.

اللمسة التنظيمية (MiCA)

ما يجعل هذا الأمر ملحوظًا بشكل خاص هو تموضع StablR كمصدر مرخص ومنظم في أوروبا ومتوافق مع MiCA. تنظيم الأسواق في الأصول المشفرة (MiCA) يفرض قواعد صارمة على الاحتياطيات، ومتطلبات رأس المال، والتدقيق.

ومع ذلك، كما أشارت شركة الأمان Blockaid، فإن التدقيقات التنظيمية القياسية عادةً تركز على الاحتياطيات المالية والهياكل القانونية بدلاً من الأمان التشغيلي التقني في الوقت الحقيقي (OpSec). الامتثال القانوني لا يساوي تلقائيًا الأمان التشفيري الهيكلي؛ فهيكل التوقيع متعدد من واحد من ثلاثة هو نقطة فشل واضحة بغض النظر عن مدى التوافقية القانونية للشركة على الورق.