Сегодня произошёл крупный взлом смарт-контрактов, выпускающих стейблкоины USDR и EURR. Злоумышленнику удалось несанкционированно создать 16,76 млн USDR и 9,11 млн EURR, а затем обменять часть этих необеспеченных токенов на другие криптоактивы.
Вы заметили, что взломы на такие огромные суммы уже выглядят рутинными? Я регулярно слежу за лентой криптовалютных новостей и, признаюсь вам честно, взгляд уже просто проскакивает сообщения об очередных многомиллионных взломах. Как будто в них нет ничего особенного!
А между тем, за каждым из таких взломов скрываются трудности, которые возникают у простых людей, решивших использовать блокчейны и криптовалюты как основной способ хранения сбережений и распоряжения ими!
Сегодня, когда атака на StablR (эмитента USDR и EURR) уже началась, и курсы USDR и EURR начали снижаться, сайт rabbit.io получил заявку на обмен 2000 USDR на USDT. Наша автоматическая система всё проверила: адрес нашего клиента не имел отношения к взлому, он пользовался токенами USDR уже почти год, и эта заявка на обмен наверняка означала попытку спасти сбережения. Мы провели обмен по курсу, актуальному на тот момент, и клиент потерял лишь чуть более 1%, хотя буквально через несколько минут курс USDR упал на 25%, а потом на волне паники опускался почти до $0,4.
Но когда ещё через несколько часов наш клиент создал заявку на обмен 50 000 USDR, мы уже не смогли обеспечить ему обмен без значительных потерь.
Что вообще случилось
Сегодня в 01:46 UTC в телеграм-канале расследований ZachXBT появилось сообщение о возможном взломе смарт-контрактов StablR на сумму около $10 млн.
Впоследствии выяснилось, что хакеры смогли получить приватный ключ одного из владельцев мультисиг-адреса StablR, отвечающего за выпуск новых токенов. Проблема усугубилась тем, что порог безопасности там был очень низким: из трёх имевшихся приватных ключей достаточно было всего одного, чтобы совершить любую операцию. То есть, на самом деле, это даже не мультисиг. Принцип мультисига состоит в том, что для проведения операции нужно несколько подписей. Здесь же не просто было достаточно одной, а любой одной. Такой "мультисиг" не увеличивает защищённость адреса, а, наоборот, уменьшает её в три раза. Хакеры воспользовались полученным приватным ключом и напечатали "из воздуха" миллионы токенов USDR и EURR.
В Европе, где, очевидно, находится команда StablR, была ночь с субботы на воскресенье, поэтому атака продолжалась несколько часов. Последние 900 000 несанкционированно выпущенных EURр появились в сети в 4:03 UTC.
В связи с существенно выросшим предложением обоих токенов (которое, разумеется, сразу же вышло на рынок) курсы USDR и EURR существенно просели и пока не восстановились.
Что это за токены и кто ими пользуется
USDR (StablR USD) - это фиатный стейблкоин, привязанный к доллару США в соотношении 1:1, который работает в сети Ethereum. Его выпускает европейская финтех-компания StablR. Она зарегистрирована как электронное финансовое учреждение (EMI) и регулируется Управлением финансовых услуг Мальты (MFSA), а также имеет представительства в Нидерландах. EURR - это стейблкоин этой же компании, привязанный к евро.
В конце 2024 года в стартап StablR инвестировала компания Tether (эмитент USDT), которая, очевидно, рассчитывала таким образом сохранить связи с европейским криптовалютным рынком после вступления в силу правил MiCA, фактически делающих невозможным использование USDT компаниями, зарегистрированными в Европе.
Остановлюсь чуть более подробно на токене USDR, использованном нашим клиентом. По сравнению с гигантами вроде USDT и USDC, которые ворочают десятками миллиардов долларов, USDR - это крошечный проект. После ночного выпуска 16,76 млн необеспеченных токенов общее количество USDR в обращении, по данным Etherscan, составляет 21 076 437. То есть до сегодняшнего взлома его рыночная капитализация составляла менее $5 млн.
Зачем кто-то выбирает его, если есть USDT и USDC? Дело в том, что StablR создавал свои токены специально под MiCA. Токены полностью прозрачны с юридической точки зрения:
- Фиатное обеспечение хранится на сегрегированных счетах в регулируемых европейских банках.
- Они проходят регулярные аудиты крупных аудиторских компаний (например, Grant Thornton).
По всей видимости, наш клиент, у которого было как минимум 52000 USDR, — это либо житель ЕС, либо кто-то, кто ведёт деятельность в европейском правовом поле. Для него было важно использовать не USDT, а "белый", гарантированно легальный и одобренный регуляторами актив, чтобы не иметь проблем с налогами или банками.
И вот сегодня из-за провала технической безопасности StablR этот пользователь принял решение экстренно перевести свои активы именно в USDT — токен, который не даёт ему в Европе ни правовой, ни операционной определённости. Да ещё и потерял значительную сумму при этом. Ни лицензии, ни финансовые аудиты эмитента не уберегли нашего клиента от убытков.
Что же делать, если даже такие криптоактивы оказываются ненадёжными?
Я уже давно пишу о том, что государства и регулируемые ими банки активно подталкивают людей к тому, чтобы выйти из традиционной финансовой системы и хранить свои сбережения в блокчейнах, где никто не может их изъять.
Но многочисленные взломы, которые мы наблюдаем в последние месяцы, показывают, насколько такое хранение может быть опасно. Не удивлюсь, если многие пользователи криптовалют скоро задумаются о том, а не пора ли вернуть сбережения в банки. Пусть банки могут цензурировать переводы и платежи, отказывать в выдаче наличных, но банки хотя бы не подвергаются ограблениям так часто, как криптовалютные проекты!
Техническая сторона почти всех криптовалютных сервисов полностью открыта. И сейчас, когда поиском и исследованием уязвимостей без перерывов и выходных занимаются нейросети, которые становятся всё умнее, стоит ожидать продолжения волны взломов и даже её нарастания. Всё, что может быть взломано, будет взломано.
Означает ли это, что пришла пора отказаться от криптовалют? Нет. Но я полагаю, что имеет смысл хотя бы временно снизить участие в схемах с корпоративными надстройками над криптовалютами. Именно их, а вовсе не сами криптовалюты, обычно и взламывают. Базовый протокол Биткоина за 17 лет не был взломан ни разу — просто потому, что в его архитектуре физически нет привилегированных владельцев, кнопок эмиссии и административных ключей, которые хакер мог бы похитить у спящей команды.
Чем дальше актив уходит от чистой децентрализованной математики в сторону человеческого управления, тем он уязвимее. Именно поэтому даже Ethereum с его централизованным влиянием Ethereum Foundation, переписывающим правила при каждом хардфорке, не может служить эталоном надёжности. Надёжное хранение есть только там, где нет субъекта, обладающего полномочиями изменить правила в своих интересах.
Я думаю, что все, кто пользуется криптовалютами, знают это. И тем не менее, для повседневного хранения и рядовых транзакций мало кто пользуется такими криптовалютами, как биткоин. Пока все цены указываются в фиатных валютах, каждому важно, чтобы сумма в его кошельке тоже была зафиксирована в фиатной валюте: чтобы завтра не оказалось сюрпризом, что у тебя стало на 10-15% меньше денег, чем было сегодня.
И что же делать обычному пользователю, которому всё же нужна привычная стабильность доллара? А вот на этот вопрос у меня нет ответа. Наш клиент сегодня сделал свой выбор: осознав опасность USDR, он решил перевести свои средства в USDT. USDT существует уже более десяти лет. Да, его эмитент может переписать правила в любой момент. Но за все эти годы никто пока не нашёл способа подобраться к эксплуатации этой возможности.
И, что самое странное, даже когда на рынке циркулируют сотни миллионов ничем не обеспеченных USDT, это не сказывается на курсе токена. Никто не задаёт вопросов, когда Tether выбрасывает на рынок очередной миллиард USDT. Если все держатели знают, что они всё равно не смогут обратиться к эмитенту и потребовать выдать доллары за свои токены, то какая разница, есть ли у этих токенов обеспечение? USDT держится на вере, что, независимо ни от чего, на криптовалютном рынке найдётся кто-то, кто будет готов отдать за 1 USDT активы стоимостью 1 USD. Я могу допустить, что эта вера переживёт любой взлом.
Более молодые стейблкоины пока не набрали столько приверженцев, чтобы создать вокруг себя такой же ореол надёжности.
Так что, как это ни парадоксально, выбор в пользу стейблкоина, который предельно централизован и не прошёл ни одного серьёзного аудита, вполне может оказаться оправданным.
Другой вариант — стейблкоины наподобие Liquity USD, crvUSD и DAI. В них в принципе нет возможности изменить контракт, и нет централизованного эмитента, который мог бы подделать обеспечение или отказаться отдавать его вам. Их смарт-контракты пока никто не взламывал. Правда, это не означает, что нейросети с их нынешними мощностями и знаниями не смогут этого сделать в принципе.
Поэтому я всё-таки считаю, что привязанные к фиату криптоактивы могут быть лишь временным решением и подходят только для текущих трат. А для хранения — только биткоин и подобные ему криптовалюты.
