Kegagalan "Single signature": StablR keterlibatan mata uang off-lag analisis insiden dan pencurian dana pelacakan
Serangan itu, yang berasal dari manajemen yang tidak terkendali dari beberapa hak tanda tangan, sekali lagi terdengar alarm pemerintah keamanan untuk seluruh jalur mata uang stabil。
Sumber asli:Beosin
24 MeiStablR diserangEURR DAN DOLAR AS DIKELUARKAN SEBAGAI MATA UANG COMPLIANT-STABIL MATA UANG DAN US $-STABIL MATA UANGKerugian nyata lebih dari $3 jutaAku tidak tahu. Serangan itu, yang berasal dari manajemen yang tidak terkendali dari beberapa hak tanda tangan, sekali lagi terdengar alarm pemerintah keamanan untuk seluruh jalur mata uang stabil。
Analisis aliran serangan
StablR adalah distributor mata uang yang stabil yang berbasis di Malta, berikut pengumuman Teter 's dari investasi strategis di StablR dan penyediaan pengiriman mata uang yang stabil dan perangkat manajemen risiko untuk StablR melalui platform monetisasi Hadron nya. Pos ini adalah bagian dari liputan khusus Protes Suriah 2011StablR meluncurkan dua produk standar: EURR dan USDRAku tidak tahu
Dengan menganalisis data pada rantai, kita dapat menemukan:
Dompet bertanda tangan multiple untuk kendali EURR casting 0x8278D281dBF8F6F6Fc01c98d196c4b16F1ade5Bc
MENGENDALIKAN BERBAGAI DOMPET YANG DITANDATANGANI OLEH USDR
0xF45392bd2D6e6b8C5Dc26ba6c812889419B82F3
Sejak di atas atap disebutkan beberapa dompet diperlukan untuk memulai transaksi hanya dengan satu tanda tangan, penyerang menambahkan alamat penyerang 0xD477B5A8B97E213Fdb876F9F6F6CD1 ke dua kotak - menyebutkan beberapa dompet dengan mengendalikan alamat 0xC736266666666666665C5C5C5C5C5C5C
Terkait kesepakatan Hash:
(1) 0x41c25040803f260b2533386e68f 7348f 5f c8d8d00cde41f800f073c8a
(2) 0x5b5825ca36f4cda02b1c77777315e6310de71dba06060c18100de
Kita bisa melihat melalui proses di atasIni bukan pelanggaran kode, itu adalah masalah keamanan untuk penerbit: Tidak ada kunci privat dengan alamat tertentu, tidak ada threshold tinggi untuk operasi resiko tinggi / tinggi, tidak ada waktu kunci untuk operasi casting besar dan tidak ada mekanisme respon darurat cepat。
Setelah alamat penyerang 0xD467B5A8B977E213Fdb876bFcBAB3F9F6CD1 diberikan casting otoritas mata uang, penyerang mulai large- skala casting koin dan mengirim uang stabil palsu ke beberapa alamat:
Menurut Beosin, total 8.35M USDR dan 4.5M EURR ditemukan dalam casting, terkait dengan pencarian koin cetak yang relevan: * * * * *
Analisis aliran dana curian
kerugian yang sebenarnya disebabkan oleh insiden melebihi $3 juta. Penerima utama setelah seigniorage adalah:
1, 0xD4677B5A8B1b97E213Fdb876FCAB3F6CD1
(1.000,000 EURR & nbsp;)
2, 0xBb64302c6F039D4a4am800CAc93E6E54556675D
(total dari 400,535,33 & nbsp; EURR, 4.610.173.19 & nbsp; USDR; seditasi sekarang: 324.163.04 & nbsp; USDR, 1.204.0988.63 EURR)
3, 0xeA480c23D7B29a515856AafE0c86F7519965a04
(total dari 41.67 & nbsp; ETH, 2.575.966.87 & nbsp; USDR, 650.000 & nbsp; EURR)
4, 0x5D2184d84b82B67c18Bbec81E7Df14F6bAb
(alamat diterima 235.92 & nbsp; ETH, 700.000 & nbsp; EURR, 200.000 & nbsp; USDR)
5, 0x41E63c5d2AE95802868D9ef3686c974aDA96d0dd
(total 225.54 & nbsp; ETH, 4juta & nbsp; USDR, 1.000,000 & nbsp; EURR)
6, 0x873Ef45d10b29EB251b1Eb5E057C325f092a80a
(alamat yang diterima 2.000 & nbsp; USDR; deposisi saat ini: 1.969.000 USDR)
7, 0x8c 1957 65721e25c03A0D645a469a7266c51
(total dari 1.400.000 & nbsp diterima di alamat ini; USDR, 1400.000 EURR; deposisi sekarang: 900.000 EURR, 900.000 USDR)
8, 0x865EC0587CdF305877783C080d97D4f60398f
(total dari 504.000 & nbsp; USDR)
Posting ini merupakan bagian dari liputan khusus Global Voices 2011Secara ilegal ditemukan EURR dan USDR bagian ditransfer ke pertukaran berbeda dengan cara dari desentralisasi dana, seperti ChangeNOW, Kraken, Mata uang Api, WhiteB dll, sejumlah kecil uang dimasukkan ke Tornado & nbsp; The Cash Mixer。
Beosin Trace dapat menembus transaksi dalam mata uang campuran seperti Tornado & nbsp; Cash dan ChangeNOW, FocedFlow, hasil penetrasi yang relevan sebagai berikut:
Selain dana ditransfer ke Centralized Exchange, deposito rantai sebagai berikut:
1. 0x9be1a36c2d7f9909eb3d69184x6e46a12ba0aca
JUMLAH SEDIMEN: 1.488,08 ETH
2. 0x4645b1f001ec6493a31a8e67bbd3146ef3ff
JUMLAH SEDIMEN: 510,673.98 USDR, 44.000 EURR
3. 0x9c25a36344fa04as8bas72e33c7469d5e15c5926
JUMLAH DEPOSISI: 85.21 ETH, 15.263.22 USDT, 101.241.95 EURR
4. 0x2e7482f6dbbe854bd081e215c0c368c762
JUMLAH DEPOSISI: 8.91 ETH, 26,816.98 USDT, 250,570.03 EURR
5 0xde7adbb368c266df8c0e98693bee8f660add
JUMLAH DEPOSISI: 13.65 ETH, 165.162.05 USDT, 38.696.42 USDR, 258.117.67 EURR
6. 0xibc0b7b2487ac9710346e019475c271edd
JUMLAH DEPOSISI: 100 ETH
7. 0xb8d90cfe9fd398fef70490d1efd28a6386
JUMLAH DEPOSISI: 100.000 USDR
8. 0x7ec05d1d6b0cf4e74b5907d01eeb43c6376
JUMLAH DEPOSISI: 15 ETH
Secara keseluruhan aliran keuangan ditunjukkan dalam gambar di bawah ini:
Dicuri keuangan mengalir oleh Beosin Trace
Audit kode sertifikat keamanan ini tidak mengatasi kekurangan operasional / pemerintahan, dan stabilisator dan regulator harus mempertimbangkan secara proaktif pemantauan, secara risiko, peredaran dan operasi mata uang stabil di pasar kedua. Dalam menanggapi rasa sakit industri, Beosin memperkenalkan Sistem Pemantauan Stablecoin, yang mencakup seluruh siklus hidup dari mata uang yang stabil: SistemMendukung pemantauan indikator operasi kunci yang sedang berlangsung seperti total jumlah uang yang dikeluarkan, pengecoran dan kehancuran, distribusi uang memegang alamat, rantai-perdagangan aliran air:
Selama fase aliran, Pemantauan Stablecoin akan menggabungkan fluktuasi harga dan analisa jangkar untuk mendeteksi risiko de- anchorage yang timbul dari manipulasi pasar atau krisis likuiditas dengan cara yang tepat waktuDalam menanggapi penyerangan seperti melepaskan kunci pribadi dari insiden StablR, sejumlah besar koin yang stabil; dan memiliki lintas-rantai kemampuan pelacakan untuk melacak arus keuangan di blok berbeda rantai. Untuk stabilisator palsu yang dikeluarkan pada rantai, sistem menyediakan real-time pemantauan dan peringatan untuk memungkinkan pengguna untuk mengidentifikasi risiko penipuan yang relevan。
