#TradeCFDWinGold StablR ステーブルコインプロトコル、大規模な脆弱性により被害; EURRとUSDRが20%のペッグ解除

2026年5月24日 — ステーブルコインプロトコルのStablRは週末に壊滅的なガバナンスの脆弱性に見舞われ、トークンコントラクトの悪意ある乗っ取りと大規模な不正ミントイベントが発生した。攻撃者はプロトコルの所有者権限を置き換え、その後、数百万ドル相当のネイティブのユーロ（EURR）と米ドル（USDR）のステーブルコインをミントして売却し、両資産のペッグを20%急激に解除させた。
攻撃の詳細
セキュリティ企業Blockaidがまとめたオンチェーン追跡データによると、この事件は特にStablRプロジェクトのマルチシグ（複数署名）ウォレットのコアセキュリティ装置を標的としたものだった。
攻撃者がUSDRとEURRのスマートコントラクトの管理権限を乗っ取った後、二つの手法で資産を抽出した：
トークンのミント：攻撃者は無担保で8.35百万USDRと4.5百万EURRを違法にミントした。
清算の実行：これら新たに発行されたトークンは、Ethereumと交換するために分散型取引所（DEX）に急速に売却された。流動性が乏しいプールでは、大量のトークン流入によりスリッページが高騰した。
報酬の獲得：攻撃者は、無担保のステーブルコインの時価総額1040万ドルをETHにスワップし、約280万ドル相当の1,115 ETHを獲得した。
ガバナンスの失敗の詳細
セキュリティアナリストは、この事件は一般的な複雑なスマートコントラクトの脆弱性によるものではなく、完全に根本的なプロトコルのガバナンスの欠陥と、ステーブルコイン発行者の運用監督の失敗に起因すると強調している。
🛑 重要なガバナンスの欠陥の悪用
3つの署名のうち1つだけで承認できる閾値：マルチシグウォレットは緩い1-of-3の閾値に誤って設定されていた。これにより、1つの承認署名だけであらゆるトップレベルのコマンドを実行できた。結果として、1つの所有者キーを侵害するだけで、攻撃者はシステム全体の操作権を掌握し、自分自身を追加したり、正当な所有者を排除したりできた。
不注意なプライベートキーの管理：運用セキュリティ（OpSec）の不備により、所有者のプライベートキーが露出・漏洩し、攻撃者に必要な署名を与えた。
タイムロックの不在：プロトコルにはタイムロック機構が全くなかった。管理者権限のアップグレードを完了させるための遅延や二次確認フェーズがなかったため、攻撃者は即座に所有権を切り替え、ミントを実行できた。チームが介入する余裕は一切なかった。
コンプライアンスのパラドックス：StablRは、EUの暗号資産市場（MiCA）枠組みをターゲットとした、完全に準拠し、100%担保のステーブルコイン発行者として位置付けていた。表面下では、その準備金バックアップシステムや分離された法定通貨口座は維持されていたが、この脆弱性は業界に重要な教訓をもたらす：規制遵守や厳格な監査は、日常の運用セキュリティ層に中央集権的な単一点故障の脆弱性がある限り、プロトコルを守るものではない。