یک حمله امنیتی گسترده به پروژه StablR باعث شد استیبل‌کوین‌های یورویی و دلاری این پلتفرم از قیمت ثابت خود فاصله بگیرند. اتفاقی که بار دیگر ضعف مدیریت کلیدهای خصوصی در پروژه‌های دیفای را زیر ذره‌بین برده است.

شرکت امنیت بلاکچینی Blockaid روز یکشنبه اعلام کرد سیستم شناسایی حملات این شرکت یک اکسپلویت فعال علیه صادرکننده استیبل‌کوین StablR را شناسایی کرده و تاکنون حدود ۲.۸ میلیون دلار از این پروتکل خارج شده است.

در این رابطه بخوانید‌ : ارز دیجیتال پولکادات (Polkadot) چیست؟

علت حمله؛ لو رفتن کلید خصوصی یکی از امضاکنندگان

طبق گزارش Blockaid، عامل اصلی این حمله احتمالاً افشای کلید خصوصی یکی از اعضای حساب چندامضایی (Multisig) مربوط به فرآیند مینت توکن بوده است.

این حساب از ساختار امنیتی ضعیف «۱ از ۳» استفاده می‌کرد. به این معنی که تنها یک امضا برای انجام عملیات حساس کافی بوده است.

مهاجم پس از دسترسی به کلید خصوصی:
خودش را به لیست امضاکنندگان اضافه کرد
سایر مالکان را حذف کرد
سپس ۸.۳۵ میلیون توکن USDR و ۴.۵ میلیون توکن EURR مینت کرد

این اقدام باعث شد هر دو استیبل‌کوین از قیمت ثابت خود فاصله بگیرند.

فروش توکن‌های جعلی با تخفیف

هکر سپس این توکن‌ها را که در مجموع حدود ۱۰.۴ میلیون دلار ارزش داشتند، در صرافی‌های غیرمتمرکز فروخت.

اما به‌دلیل نقدینگی پایین بازار، مهاجم تنها توانست در ازای آن‌ها حدود ۱,۱۱۵ واحد اتریوم دریافت کند که ارزشی نزدیک به ۲.۸ میلیون دلار دارد.

شرکت Blockaid تأکید کرد:

«این حمله ناشی از باگ قرارداد هوشمند نبود؛ بلکه شکست در مدیریت کلیدها و ساختار حاکمیتی پروژه بود.»

همچنین بخوانید : آزمون تورینگ (Turing Test) چیست؟

استیبل‌کوین‌های EURR و USDR سقوط کردند

استیبل‌کوین یورویی EURR که حدود ۱۴ میلیون دلار مارکت کپ دارد، بیش از ۲۳ درصد سقوط کرد و از نرخ ثابت ۱.۱۵ دلاری خود به حدود ۰.۸۸ دلار رسید.

همچنین استیبل‌کوین دلاری USDR با ارزش بازار ۱۱ میلیون دلار، حدود ۳۰ درصد افت کرد و به ۰.۷۰ دلار رسید.

StablR چیست؟

StablR پروژه‌ای فعال در حوزه استیبل‌کوین‌های وثیقه‌محور و قانون‌گذاری‌شده است که نسخه‌های دلاری و یورویی ارائه می‌دهد.

این پروژه اعلام کرده ذخایر مالی آن در حساب‌های جداگانه نزد مؤسسات مالی معتبر نگهداری می‌شود و شفافیت ذخایر را از طریق Proof-of-Reserves ارائه می‌کند.

توکن‌های این پروژه روی شبکه‌های اتریوم و سولانا در دسترس هستند.

نکته قابل‌توجه اینکه شرکت تتر (Tether)، بزرگ‌ترین صادرکننده استیبل‌کوین جهان، در دسامبر ۲۰۲۴ روی StablR سرمایه‌گذاری کرده بود.

تا زمان انتشار این خبر تیم StablR هیچ توضیح رسمی در حساب X منتشر نکرده است.

موج حملات دیفای ادامه دارد

حملات ناشی از افشای کلیدهای خصوصی در ماه‌های اخیر به یکی از رایج‌ترین روش‌های هک پروژه‌های دیفای تبدیل شده است.

تنها طی دو ماه گذشته، پروژه‌های زیر نیز قربانی حملات مرتبط با کلیدهای خصوصی یا دسترسی‌های مدیریتی شده‌اند:

• Volo Vault
  Wasabi Perps
  Echo Bridge
  Polymarket

در همین حال، بریج Map Protocol نیز چهارشنبه ۲۱ مه هدف حمله‌ای مبتنی بر باگ قرارداد هوشمند قرار گرفت. حمله‌ای که طی آن مهاجم موفق شد یک کوادریلیون توکن MAPO ایجاد کند.

ترجمه شده توسط مجله خبری نیپوتو