StablR đóng băng USDR và EURR sau vụ mint 13,5 triệu USD token không bảo chứng

StablR dừng USDR và EURR sau sự cố phát hành token không có bảo chứng

StablR, đơn vị phát hành stablecoin tại châu Âu, đã tạm ngừng dịch vụ mint và redeem đối với hai token USDR và EURR sau một vụ tấn công mạng khiến tài sản đảm bảo không còn đủ 1:1. Đây là diễn biến nghiêm trọng vì cả hai đồng đều gắn với yêu cầu bảo chứng theo khuôn khổ quản lý của Liên minh châu Âu.

Theo thông tin từ công ty, họ phát hiện các dấu hiệu bất thường trong hệ thống sau khi các cảnh báo nội bộ kích hoạt một cuộc điều tra. Cùng lúc, nhà điều tra onchain ZachXBT cũng công khai cảnh báo về sự cố, cho biết hai hợp đồng liên quan đến USDR và EURR dường như đã bị xâm nhập.

Điều gì đã xảy ra trong vụ tấn công?

StablR cho biết họ đã đóng băng hoạt động của token và yêu cầu các sàn giao dịch tạm dừng:

• giao dịch USDR và EURR
• nạp tiền
• rút tiền

Trong khi chờ rà soát sự cố, công ty xác nhận nguồn cung lưu hành của USDR và EURR hiện chưa được bảo chứng đầy đủ ở tỷ lệ 1:1 như yêu cầu trong quy định MiCA của EU.

Dữ liệu từ CoinGecko cho thấy:

• USDR có vốn hóa thị trường khoảng 20 triệu USD
• EURR có vốn hóa thị trường khoảng 10 triệu USD

Lỗ hổng được cho là nằm ở ví multisig

Công ty an ninh blockchain GoPlus Security nhận định vụ việc có thể bắt nguồn từ điểm yếu trong cơ chế ví multisignature của StablR trên Ethereum. Theo phân tích của họ, ví mint được thiết lập theo ngưỡng 1-of-3, nghĩa là chỉ cần một trong ba người được phép xác nhận giao dịch là đủ để thực hiện thao tác.

Nhóm nghiên cứu cho rằng kẻ tấn công đã:

1. chiếm được một khóa trong hệ thống
2. tự đưa mình vào vai trò quản trị viên
3. loại các signer hợp lệ khỏi cấu hình
4. mint khoảng 8,35 triệu USDR và 4,5 triệu EURR

Tổng cộng, lượng token bị phát hành không có bảo chứng vào khoảng 13,5 triệu USD theo tỷ giá neo.

Kẻ tấn công thu về khoảng 2,8 triệu USD

Do thanh khoản trên các sàn phi tập trung khá mỏng, nhóm tấn công chỉ thu ròng khoảng 2,8 triệu USD sau khi bán lượng token mới mint ra thị trường. Nói cách khác, họ không thể rút toàn bộ giá trị danh nghĩa của số token đã tạo ra.

Sự cố cũng khiến giá của hai stablecoin này biến động mạnh. Có thời điểm, USDR và EURR mất tới 50% so với mức neo trước khi bắt đầu hồi phục trở lại. Hiện USDR đang ở quanh 0,994 USD, còn EURR ở mức 0,548 USD, thấp hơn nhiều so với giá trị euro hiện tại là 1,16 USD.

StablR sẽ báo cáo cơ quan quản lý và phối hợp điều tra

StablR cho biết họ sẽ thông báo cho Malta Financial Services Authority theo yêu cầu báo cáo của Digital Operational Resilience Act và MiCA. Ngoài ra, công ty cũng đang phối hợp với các đơn vị an ninh mạng bên ngoài và cơ quan thực thi pháp luật để điều tra toàn bộ sự việc.

CEO Gijs op de Weegh nói công ty đang xử lý vụ việc với “full transparency” trong lúc cuộc điều tra tiếp diễn.

Vì sao sự cố này đáng chú ý?

Vụ việc cho thấy ngay cả các stablecoin tuân thủ khung pháp lý vẫn có thể gặp rủi ro nếu hạ tầng quản trị khóa và phân quyền ký không đủ chặt chẽ. Với các token neo giá, một lỗi ở lớp vận hành có thể nhanh chóng chuyển thành mất bảo chứng, gây áp lực lớn lên niềm tin thị trường.

Trong bối cảnh đó, câu chuyện của StablR là lời nhắc rõ ràng rằng rủi ro kỹ thuật và rủi ro quản trị luôn là hai mặt không thể tách rời của tài sản số.