Nguồn gốc: Beosin
Vào ngày 24 tháng 5, giao thức stablecoin StablR đã bị tấn công , khiến stablecoin Euro EURR và stablecoin đô la Mỹ USDR tuân thủ giao thức này giảm mạnh 20% do lượng lớn bất hợp pháp, dẫn đến thiệt hại thực tế vượt quá 3 triệu đô la . Cuộc tấn công này bắt nguồn từ việc thiếu kiểm soát quyền xác thực đa chữ ký, đúc nữa gióng lên hồi chuông cảnh báo về quản trị an ninh trong toàn bộ lĩnh vực stablecoin.
Phân tích luồng tấn công
StablR là một công ty phát hành stablecoin có trụ sở tại Malta. Trước đây, Tether đã công bố khoản đầu tư chiến lược vào StablR và sẽ cung cấp các công cụ phát hành stablecoin và quản lý rủi ro thông qua nền tảng token hóa Hadron của mình. Hiện tại, StablR cung cấp hai sản phẩm stablecoin tuân thủ quy định: EURR và USDR .
Bằng cách phân tích dữ liệu Chuỗi , chúng ta có thể thấy rằng:
Ví đa chữ ký đúc EURR kiểm soát có địa chỉ là 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc
Ví đa chữ ký kiểm soát đúc USDR là
0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3
Vì các ví đa chữ ký nói trên chỉ yêu cầu một chữ ký để bắt đầu giao dịch, kẻ tấn công, bằng cách kiểm soát địa chỉ chủ sở hữu 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, đã thêm địa chỉ của kẻ tấn công 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 vào hai ví đa chữ ký nói trên.
Mã băm giao dịch liên quan:
(1) 0x41c2504e208a3f260b2564393938b6e68f7348f5fcb8df00cde41f800f073c8a
(2) 0x5b5825ca36f4cdad02b1c777df63115e63010de77de71dba0ac60160c18100de
Qua quá trình trên, chúng ta có thể thấy rằng sự cố lần không phải do lỗ hổng mã nguồn, mà là do vấn đề an ninh vận hành của nhà phát hành stablecoin : private key của các địa chỉ có đặc quyền không được lưu trữ đúng cách, không sử dụng xác thực đa chữ ký ngưỡng cao cho các giao dịch giá trị cao/ rủi ro cao, không có khóa thời gian cho các hoạt động đúc quy mô lớn và thiếu cơ chế phản ứng khẩn cấp nhanh chóng.
Sau khi giành được quyền tạo tiền điện tử tại địa chỉ tấn công 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1, kẻ tấn công bắt đầu tạo ra một lượng lớn tiền điện tử và gửi số stablecoin đúc đến nhiều địa chỉ khác nhau:
Theo số liệu thống kê của Beosin, tổng cộng 8,35 triệu USDR và 4,5 triệu EURR đúc đúc . Liên kết truy vấn số lượng tạo ra có liên quan là: https://etherscan.io/advanced-filter?fadd=0x00000000000000000000000000000000000000&tadd=0x000000000000000000000000000000000000000&tkn=0x7b43e3875440b44613dc3bc08e7763e6da63c8f8%2c0x50753cfaf86c094925bf976f218d043f8791e408&ps=50
Phân tích dòng chảy của các khoản tiền bị đánh cắp
Thiệt hại thực tế do sự cố lần gây ra vượt quá 3 triệu đô la. Sau khi đúc tiền, địa chỉ nhận chính là:
1. 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1
(Địa chỉ này đã nhận được tổng cộng 1.000.000 EURR)
2. 0xBb64302c6F039D4aa800CAc93E6E54856958675D
(Địa chỉ này đã nhận được tổng cộng 4.000.535,33 EURR và 4.610.173,19 USDR; lắng đọng hiện tại: 324.163,04 USDR và 1.204.098,63 EURR)
3. 0xeA480c23D7B29a515856AafE0dc86F7519965a04
(Địa chỉ này đã nhận được tổng cộng 412,67 ETH, 2.575.966,87 USDR và 650.000 EURR)
4. 0x5D2184d84b82B67c1818Bbec8ce81E7Df14F6bAb
(Địa chỉ này đã nhận được tổng cộng 235,92 ETH, 700.000 EURR và 200.000 USDR)
5. 0x41E63c5d2AE95802868D9ef3686cC974aDA96d0d
(Địa chỉ này đã nhận được tổng cộng 225,54 ETH, 4.000.000 USDR và 1.000.000 EURR)
6. 0x873Ef45d10b29EB251b1Eb5Fe057C325f092a80a
(Địa chỉ này đã nhận được tổng cộng 2.000.000 USDR; lắng đọng hiện tại: 1.969.000 USDR)
7. 0x8c1957765721e2540c03A0D64435a469a7266c51
(Địa chỉ này đã nhận tổng cộng 1.400.000 USDR và 1.400.000 EURR; lắng đọng hiện tại: 900.000 EURR và 900.000 USDR)
8. 0x865eC0587CdF305877783C080d97DEdD4f60398f
(Địa chỉ này đã nhận được tổng cộng 504.000 USDR)
Theo phân tích của Beosin Trace, một số EURR và USDR đúc bất hợp pháp đã được chuyển đến sàn giao dịch khác nhau, chẳng hạn như ChangeNOW, Kraken, Huobi và WhiteBIT, thông qua phương thức phi tập trung, sàn giao dịch một lượng nhỏ tiền được đưa vào bộ trộn Tornado Cash.
Beosin Trace có thể thâm nhập vào các giao dịch thông qua các bộ trộn tiền như Tornado Cash và sàn giao dịch tức thời như ChangeNOW và Fixedflow. Kết quả thâm nhập liên quan được hiển thị bên dưới:
Ngoài số tiền được chuyển đến sàn giao dịch tập trung , lắng đọng quỹ Chuỗi như sau:
1. 0x09be1a36c2d7f9909eb3d6f9184c6e46a12b0aca
Số tiền lắng đọng: 1.488,08 ETH
2. 0x464545b1f001ec64f93a31a8e678bfbd3146ef3f
Số tiền lắng đọng: 510.673,98 USDR, 44.000 EURR
3. 0x9c25a3634fa04a8bac72e233c74469d5e15c5926
Số tiền lắng đọng: 85,21 ETH, 15.263,22 USDT, 101.241,95 EURR
4. 0x2e74a82f6dbdfbe8fe54bd081e215c0c368c7762
Số tiền lắng đọng: 8,91 ETH, 26.816,98 USDT, 250.570,03 EURR
5. 0xde7adbb368c2616df8c5c0e986933bee8f660add
Số tiền lắng đọng: 13,65 ETH, 165.162,05 USDT, 38.696,42 USDR, 258.117,67 EURR
6. 0x0bc0b7b24876ac97610346ea0194735ccc271edd
Số tiền lắng đọng: 100 ETH
7. 0xb8d90cffe9fdb398afec7046490d1efdb28a6386
Số tiền lắng đọng: 100.000 USDR
8. 0x7ec05d1d6b0cbf4e74bd5907d01aeeb4343c6376
Số tiền lắng đọng: 15 ETH
Luồng vốn tổng thể được thể hiện trong sơ đồ sau:
Biểu đồ phân tích dòng tiền bị đánh cắp của Beosin Trace
Sự cố bảo mật lần cho thấy kiểm toán mã nguồn không thể giải quyết được các thiếu sót về vận hành/quản trị. Các nhà phát hành stablecoin và các cơ quan quản lý nên xem xét việc chủ động giám sát lưu thông và hoạt động stablecoin trên thị trường thứ cấp, dựa trên đánh giá rủi ro . Để giải quyết vấn đề nan giải này trong ngành, Beosin đã ra mắt hệ thống giám sát stablecoin bao trùm toàn bộ vòng đời của stablecoin . Hệ thống này hỗ trợ giám sát liên tục chỉ báo hoạt động chính như tổng lượng phát hành stablecoin, hoạt động tạo và đốt, phân phối địa chỉ nắm giữ và khối lượng giao dịch Chuỗi .
Trong giai đoạn lưu thông, Stablecoin Monitoring phân tích biến động giá và trạng thái neo giá để nhanh chóng phát hiện rủi ro mất neo giá do thao túng thị trường hoặc khủng hoảng thanh khoản . Điều này giúp giải quyết các kịch bản tấn công như việc đúc stablecoin hàng loạt sau khi rò rỉ private key , như trường hợp StablR . Hệ thống cũng sở hữu khả năng theo dõi hoạt động xuyên Chuỗi, cho phép theo dõi dòng tiền giữa blockchain khác nhau. Đối với stablecoin giả mạo được phát hành trên Chuỗi , hệ thống cung cấp khả năng giám sát và cảnh báo theo thời gian thực, giúp người dùng dễ dàng nhận diện rủi ro gian lận liên quan.
