開場
根據區塊鏈分析公司 Blockaid 的說法,歐洲穩定幣基礎設施供應商 StablR 因遭遇嚴重安全漏洞而損失慘重:未經授權的行為者入侵了在以太坊主網上管理該平台主要智慧合約的行政治理層。攻擊者利用一個「三者一票(one-of-three)」的多重簽名(multi-signature)設定薄弱點,取得平台鑄幣功能的控制權,並在完全不具擔保支撐的情況下,生成 8.35 百萬 USDR 及 4.5 百萬 EURR 代幣。此次漏洞引發急劇的市場脫鉤(depeg),其中 USDR 暴跌至 70 美分、EURR 則下滑 12% 至約 0.88 美元,凍結了去中心化交易所(decentralized exchanges)中的標準贖回機制。
漏洞機制:遭竊的私鑰與弱勢多重簽名設定
區塊鏈資安調查人員確認,根本原因來自行政(administrative)治理門檻(threshold)不足。StablR 的核心資產發行(issuance)管線採用「三者一票」多重簽名設定模式,意味著攻擊者只需要攻破單一加密簽署者(signer)金鑰,就能達成完全的行政控制。攻擊者並非鎖定協定(protocol)交易邏輯中的漏洞,而是聚焦於攻破平台的私鑰基礎設施。當他們取得單一金鑰後,就重新配置錢包參數,以將其餘合法簽署者隔離在治理機制之外,從而把平台的結構性接管「鎖定」下來。
無擔保代幣鑄造與資產抽走
在鑄幣金鑰(minting keys)被控制後,該等利用者系統性地生成 8.35 百萬 USDR 以及 4.5 百萬 EURR,並繞過所有機構層級的法幣擔保(fiat collateral)驗證要求。無擔保發行的總額約達 1,285 萬美元的「人工數位資產」。
市場影響與脫鉤
這些無擔保穩定幣突然被注入到次級市場,觸發嚴重的流動性危機。攻擊者立即將非法生成的代幣在各自的自動化市場所(automated market pools)中拋售,並壓垮像 Curve Finance 這樣的去中心化交易所。集中式的賣壓導致 USDR 跌破傳統支撐水位,最低來到 0.7 美元。與此同時,EURR 也出現同樣慘烈的收縮,下滑超過 12% 後徘徊在約 0.88 美元附近。這種劇烈脫鉤使標準的贖回循環(redemption loops)凍結,顯示行政治理層面的脆弱性,能在短短幾分鐘內中和外界對「資產擔保型」數位工具的安全性認知。
