原文来源:Beosin
5月24日,稳定币协议StablR遭遇严重攻击,其发行的合规欧元稳定币EURR与美元稳定币USDR因被非法大量铸造而出现剧烈脱锚,跌幅高达20%,造成的实际损失超过300万美元。这场攻击源于多重签名权限管理的完全失控,再次为整个稳定币赛道敲响了安全治理的警钟。
攻击流程分析
StablR是一家总部位于马耳他的稳定币发行商,此前Tether宣布对其进行了战略投资。通过分析链上数据可以发现:
控制EURR铸造的多签钱包为0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc,控制USDR铸造的多签钱包为0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3。由于上述多签钱包发起交易仅需1个签名,攻击者通过控制owner地址0xC73fD562de86d7860EE636C20813Bcb2cF4D550d,将攻击者地址0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1添加到了上述两个多签钱包中。
相关交易哈希:(1)0x41c2504e208a3f260b2564393938b6e68f7348f5fcb8df00cde41f800f073c8a (2)0x5b5825ca36f4cdad02b1c777df63115e63010de77de71dba0ac60160c18100de
通过以上流程可以看出,本次事件的核心问题并非代码漏洞,而是稳定币发行方的运营安全问题:没有妥善保存特权地址私钥、对高价值操作未采用高阈值多签、缺乏大额铸造的时间锁机制以及快速应急响应机制。
在攻击者地址获得铸币权限后,便开始大规模铸币并将铸造的稳定币发送至多个地址。
据Beosin统计,攻击者共计铸造了835万枚USDR与450万枚EURR。
被盗资金流向追踪
本次事件造成的实际损失超过300万美元。铸币后,主要接收地址包括:
- 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1(接收1,000,000 EURR)
- 0xBb64302c6F039D4aa800CAc93E6E54856958675D(接收大量EURR与USDR,当前仍有大量资金沉淀)
- 0xeA480c23D7B29a515856AafE0dc86F7519965a04(接收412.67 ETH及大量稳定币)
- 等多个其他地址。
通过Beosin Trace分析,非法铸造的稳定币部分通过资金分散的方式转移到不同的交易所,如ChangeNOW、Kraken、火币、WhiteBIT等,少量资金进入了Tornado Cash混币器。
Beosin Trace可穿透混币器及闪兑交易所的交易,相关穿透结果如下所示:
除转入中心化交易所的资金外,链上仍有大量资金沉淀在多个地址中。
总体资金流向如下图所示:
被盗资金流向分析图 by Beosin Trace
事件启示与行业建议
本次安全事件证明,单纯的代码审计无法解决运营与治理层面的缺陷。稳定币发行方和监管机构应考虑在风险基础上,主动监测稳定币在二级市场中的流通和运营情况。
针对这一行业痛点,Beosin推出了涵盖稳定币全生命周期的稳定币监控系统(Stablecoin Monitoring)。该系统支持对稳定币的发行总量、铸币与销毁行为、持币地址分布、链上交易流水等关键运营指标进行持续性监控。
在流通阶段,该系统会结合价格波动及锚定情况分析,及时发现因市场操纵或流动性危机引发的脱锚风险,以应对如本次事件中私钥泄露后批量恶意铸造稳定币等攻击场景。系统还具备跨链活动追踪能力,可跨越不同区块链追踪资金流向。针对链上发行的假冒稳定币,该系统提供实时监测与告警,帮助用户识别相关欺诈风险。