欧州のステーブルコイン発行企業StablRは24日、同社に影響を与えるセキュリティ上の問題を特定したと公式Xで発表した。同社は現在、問題の封じ込めと影響の最小化に向けた対応を進めており、ユーザーと資金の保護を最優先にするとしている。

現在封じ込め対応中、事後報告と対策に注目集まる

現時点では影響範囲や損失額、原因に関するStablRからの正式な発表はなされていない状況だ。同社はXの投稿内で、「検証済みの詳細と今後の対応をできる限り早く共有する」と説明している。

なお、同社が発行するステーブルコインは執筆時点で大きく値を崩した。ユーロとの価格連動を目指した「EURR」は直近で0.7008ドル、ドルとの価格連動を目指した「USDR」は0.6930ドルまで下落しており、いずれも本来の価格帯から大きく乖離している状況だ。

ミント権限の乗っ取りか、約4.4億円が引き出された可能性が指摘

オンチェーン調査家のZachXBT氏は同日、EURRとUSDRの2つのコントラクトが約1,000万ドル（約16億円）規模の攻撃を受けた可能性があるとテレグラム上で報告した。攻撃者とされるアドレスにはノーブル上のCCTPを経由して資金が供給されていたと指摘し、複数の関連アドレスを提示している。

一方、ブロックチェーンセキュリティ企業のブロックエイドも同日、同社のエクスプロイト検出システムがStablRへの進行中の攻撃を特定したと報告。EURRとUSDRの双方がペッグから外れ、投稿時点で約280万ドル（約4.4億円）が引き出されていると説明した。

ブロックエイドは疑わしい根本原因として、トークンの新規発行権限を持つ「ミントマルチシグ」所有者の秘密鍵侵害を挙げている。分析によれば、StablRのミントマルチシグは3人の所有者のうち1人の承認で操作できる「1-of-3」の設定であり、1つの鍵を奪うだけで完全な制御が可能だったという。

攻撃者はまず自身を所有者に追加したうえで残る2人の正当な所有者を置き換え、835万USDRと450万EURRを新たに発行。その後、分散型取引所（DEX）で額面約1,040万ドル相当を交換したが、流動性が薄かったため、最終的に現金化できた額は1,115 ETHにとどまったとブロックエイドは説明している。

ブロックエイドは今回の事案について、マルチシグの署名設定を含む鍵管理体制の問題が背景にある可能性を指摘している。今後、StablRによる正式な事後報告と再発防止策の発表に注目したい。

関連：ソーチェーン約17億円ハッキングの全容──攻撃者はDiscord参加から2週間で犯行に及ぶ
関連：DEXワサビ、ハッキング被害──約8.6億円流出、秘密鍵の漏洩が原因か

※価格は執筆時点でのレート換算（1ドル＝158.8円）