#StablRStablecoinDepegsAfterExploit

這是一個經典且令人痛心的「名義上的去中心化」治理反噬項目的例子。當一個協議在像鑄幣權限這樣的關鍵操作上使用1-of-3多簽時，這完全破壞了擁有多簽錢包的初衷。

以下是問題的詳細分析，攻擊者是如何提取資金的，以及為何「利潤」遠低於代幣的面值。

攻擊的展開

這次漏洞本質上是密鑰管理失誤，而非程式碼漏洞。由於合約只需要三個簽名中的一個來執行交易，攻擊者只需破壞一個私鑰，就能獲得全部控制權。

攻擊的進程

步驟一：密鑰被攻破與接管：攻擊者取得其中一個私鑰。利用這個簽名，他執行了一個管理員命令，將自己的地址加入為所有者，並完全移除另外兩個合法簽署人。

步驟二：無抵押鑄幣：完全控制鑄幣合約後，他立即鑄造了835萬USDR和450萬EURR，未提供任何抵押品。

步驟三：去中心化交易所（DEX）拋售：攻擊者趕赴去中心化交易所，將未抵押的代幣兌換成以太幣（ETH）。

滑點與流動性不足：760萬美元的損失

攻擊者在幣值掛鉤時，鑄造了約1040萬美元的面值。然而，他們最後只換得約1115 ETH（約280萬美元）。

為何差距如此之大？流動性不足。

去中心化交易所的穩定幣池依賴深厚的流動性來維持自動化做市商（AMM）的定價。由於StablR池相對淺薄，攻擊者的大量突發賣單徹底壓垮了可用的流動性，導致極端的價格滑點，實質上在兌換過程中就已經崩潰了代幣的價值。

監管細節（MiCA）

值得注意的是，StablR作為一個歐洲監管、符合MiCA規範的發行者，其定位尤為重要。加密資產市場規範（MiCA）對儲備、資本要求和審計制定了嚴格規則。

然而，正如安全公司Blockaid指出的，標準的監管合規審計通常只關注財務儲備和法律結構，而非實時的技術運營安全（OpSec）。法律合規並不自動等同於結構性的密碼安全；一個1-of-3多簽結構無論公司在紙面上多合規，都是一個明顯的單點故障。