欧州のステーブルコイン事業者StablR(ステーブルアール)は、サイバー攻撃を受けたことにより、同社が発行するステーブルコインであるUSDRおよびEURRの運用を停止したと発表しました。ブロックチェーンセキュリティ企業の分析によると、イーサリアムのマルチシグウォレットにおける設定の脆弱性が突かれ、裏付け資産のないトークンが大量に不正発行されたとみられています。この事態により両トークンは一時的に大幅な価格乖離を起こし、流通するトークンが完全に担保されていない状態に陥っています。
セキュリティ設定の不備による大量の不正発行
今回の攻撃は、StablRが管理するイーサリアムのマルチシグネチャ(複数署名)ウォレットの設定における脆弱性が突かれたものとみられています。該当するウォレットは、3人の管理者のうち1人の署名のみで取引を承認できる「1-of-3」という設定になっていました。
攻撃者はこのうち1つのキーを侵害して自身を管理者として追加し、本来の正規署名者を排除する形で権限を掌握したとされています。その後、裏付け資産を持たないUSDRを約835万、EURRを約450万、総額約1350万ドル(約21.5億円)相当を不正に発行しました。
ただし、分散型取引所(DEX)における流動性が不十分であったため、攻撃者がこれらを売却して実際に得た利益は約280万ドル(約4.5億円)にとどまったと報告されています。
市場への影響とトークン価格の急落
不正発行されたトークンが売却されたことにより、両トークンの価格は一時、本来の価値から最大50%下落しました。被害発生時点の時価総額は、USDRが約2000万ドル(約32億円)、EURRが約1000万ドル規模であったとされています。
StablRは今回の不正発行を受けて、流通するUSDRとEURRが現在完全に担保されていない状態にあることを公式に認めています。同社はシステム内の異常を検知したことから社内調査を開始し、各暗号資産取引所に対して両トークンの取引、入金、出金の停止を要請しています。
規制対応とコンプライアンスへの影響
今回の事件は、セキュリティ上の問題にとどまらず、規制上のコンプライアンス問題にも発展しています。StablRが発行するUSDRとEURRは、欧州連合(EU)の暗号資産規制「MiCA(Markets in Crypto-Assets)」が求める1:1の準備金(裏付け資産)維持の要件を満たさなくなっていると指摘されています。
StablRは、拠点があるマルタの金融規制当局(マルタ金融サービス局)に対し、EUのデジタル・オペレーショナル・レジリエンス法(DORA)やMiCAの報告規則に基づきこの事態を通知する計画であると報じられています。また、外部のサイバーセキュリティ企業や法執行機関も調査に関与しているとされています。
ポイント
- 欧州のステーブルコイン事業者StablRがサイバー攻撃を受け、USDRとEURRの運用を停止しました。
- イーサリアム上のマルチシグウォレットにおける「1-of-3」という脆弱な署名設定が突かれ、約1350万ドル相当のトークンが不正発行されました。
- 不正に発行されたトークンが売却されたことで、両ステーブルコインは一時最大50%価格が下落し、裏付け資産が不足する担保割れの状態に陥りました。
- 今回の担保不足は、EUの暗号資産規制「MiCA」が求める1:1の準備金維持要件に抵触するため、セキュリティ侵害が規制上の重大なコンプライアンス問題へと発展した事例として注目されます。