摘要:一家受欧盟监管的马耳他稳定币发行商因多重签名配置缺陷与私钥泄露,遭攻击者铸造1350万美元无抵押USDR与EURR代币,引发严重脱锚。事件暴露监管合规无法替代技术安全设计。
币圈界报道:
马耳他受监管稳定币平台遭遇重大安全入侵事件
2026年5月24日,一家位于马耳他的持牌电子货币机构遭受严重网络安全攻击。攻击者利用配置错误的1/3多重签名钱包机制,获取了关键私钥,从而完全掌控铸币权限,并擅自发行价值1350万美元的无资产支撑稳定币,包括USDR与EURR。
高风险权限架构致系统性风险暴露
此次攻击的核心在于管理权限设计存在致命缺陷。尽管代币智能合约本身未被破坏,但铸币控制权被恶意接管,导致大量非抵押代币被批量生成。攻击者迅速在去中心化交易平台抛售,引发剧烈价格波动:USDR从1美元跌至0.4美元,EURR则从1欧元贬值至约0.85美元,脱锚幅度达15%至20%。
攻击路径与技术细节解析
本次漏洞源于多重签名体系的低门槛阈值设定与私钥泄露的叠加效应。问题并非存在于代币逻辑代码,而是管理权限控制层被彻底攻破。
多重签名配置信息合约地址:0xF45392...B82F3
阈值设置:1/3(等同于单点失效风险)
被盗权限地址:0xC73fD5...F2F5BB3(私钥已泄露)
攻击流程分析: 1. 攻击者窃取原始所有者私钥后,立即将其控制的地址添加为多重签名成员; 2. 通过一系列交易逐步移除原有合法所有者,最终实现对多签组的绝对控制; 3. 利用获得的权限多次调用铸币函数,累计生成850万枚USDR与450万枚EURR; 4. 将新铸代币通过Uniswap等去中心化交易所兑换为ETH,受限于流动性不足,被迫折价出售,最终套现约280万美元(约合1115枚ETH)。
受影响合约: - USDR代币合约:0x7B43E3...63C8f8 - EURR代币合约:0x50753C...791e408 两合约功能正常,漏洞仅限于管理权限滥用。
事件影响与行业警示
市场反应显示,缺乏抵押支持的代币供应量激增,直接触发恐慌性抛售。去中心化交易所流动性池薄弱,滑点放大加剧价格崩盘,形成恶性循环。
监管层面,即便该机构持有欧盟加密资产市场法规(MiCA)下的电子货币牌照,并宣称采用1:1法币储备机制,仍未能防范技术层面的系统性风险。合规身份无法抵消架构缺陷带来的潜在危机。
目前,发行方正联合安全团队追踪资金流向,部分资产已被识别并尝试冻结。
关键安全改进建议: 1. 禁止对铸币等核心功能使用1/N型多重签名; 2. 最低应采用2/3或3/5模式,结合硬件钱包与地理分散存储; 3. 引入时间锁机制,实现交易延迟与可追溯性; 4. 实行权限分离策略,铸币、所有权变更、暂停等功能由独立模块控制; 5. 建立所有权变更事件的自动监控与告警系统; 6. 探索多方计算钱包或多机构托管方案,提升整体安全性。
本事件深刻揭示:单一环节的技术失守——如私钥外泄与低阈值配置——足以动摇整个稳定币体系根基。监管许可不等于技术安全,必须构建纵深防御体系以应对复杂威胁场景。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。