2026年5月24日、マルタを拠点とする規制されたステーブルコイン発行者StablRに壊滅的な脆弱性が襲い、主要なステーブルコインであるUSDRとEURRのペッグが崩壊しました。これは高度なスマートコントラクトのハッキングではなく、基本的な鍵管理の致命的な失敗であり、攻撃者は3つの署名のうち1つだけを必要とするマルチシグウォレットの単一の秘密鍵を侵害し、完全なミントコントロールを奪取して、1350万ドル相当の未裏付けトークンを作成しました。

侵害された鍵は、StablRのミンティングアカウントの署名者に属していました。敏感な管理操作を実行するために3つの署名のうち1つだけを必要とする閾値のもと、攻撃者は盗んだ鍵1つだけで乗っ取りを完了させました。盗んだ鍵を使い、攻撃者は自分のアドレスを所有者として追加し、正当な署名者をすべて排除し、ミント機能を完全に掌握しました。

この運用上のセキュリティ失敗により、彼らは一連の取引で835万USDRと450万EURRをミントし、大規模な供給ショックを引き起こしました。これは法定通貨の裏付けのない巨大な供給過剰です。攻撃者はその後、ミントされた資産を主にUniswapなどの分散型取引所でETHに交換しました。しかし、流動性が薄いため、攻撃者は大幅なディスカウントで売却し、最終的にミントされたトークンの額面価値1350万ドルのうち、わずか**1115 ETH（約280万ドル）**を得るにとどまりました。

市場への影響とペッグ崩壊

市場への影響は即座かつ激烈でした。新たに裏付けのない供給がDEXに放出されると、USDRは最も被害を受け、30％下落して最低$0.70まで落ち込みました。いくつかの報告では、USDRはパニックのピーク時に**$0.40**まで急落したとされ、他の報告では**$0.26**まで下落したと指摘されています。EURRは**23％下落し、$1.15のペッグに対して約$0.88に落ち込み**、安定性を保つことを目的とした資産としては著しい乖離です。この侵害により、USDRとEURRの間の価格連動も崩れ、同じ発行者の2つのステーブルコイン間の予想される価格関係が破綻しました。

StablRは大規模な運営を行う企業です。EUのMiCAフレームワークの下で規制された電子マネー機関として、発行者は1：1の法定通貨裏付けを主張し、資金はトップクラスの金融機関の分離口座に保管されているとしています。さらに、Tetherは2024年12月にStablRに投資し、ヨーロッパでのステーブルコイン普及を促進していましたが、今回の事件は、資本力のある規制されたプレイヤーであっても内部の運用上の弱点により失敗し得ることを浮き彫りにしています。

業界の反応と規制への影響

ブロックチェーンセキュリティ企業のBlockaidは、最初にこの攻撃を指摘し、「これはスマートコントラクトのバグではなく、鍵管理とガバナンスの失敗です」と断言しました。オンチェーンの調査者ZachXBTも、StablRに関連するコントラクトに関する疑わしい活動を最初に公に警告した一人です。

これに対し、StablRはXプラットフォーム上で、脆弱性を特定し、その影響を積極的に封じ込めていると発表し、詳細は検証後に共有するとしています。発行者はまた、盗まれた資金の数百万ドルを迅速に凍結したと報じられていますが、ユーザーの資産全体の回収については未確定です。

このStablR事件は、DeFiにおける深刻な傾向の一端を示しています。2026年5月だけでも、10以上の大規模な攻撃が報告されています。今月の他の著名な侵害には、THORChain（1000万ドル）、Verus Bridge、Echo Protocol、Polymarketなどがあります。これらの攻撃の共通点は、洗練されたコードの悪用ではなく、秘密鍵の漏洩やガバナンスの失敗に起因している点です。これは業界が引き続き苦戦している攻撃ベクトルです。

最後に

StablRの脆弱性は、規制遵守、機関の支援、法定通貨の裏付けがあっても、ミント権限が本質的に単一のポイントの失敗に依存している限り、意味がないことを示す警鐘です。MiCAフレームワークは準備金や透明性の基準を設定しますが、3つの署名のうち1つだけを必要とするマルチシグと運用上のセキュリティの脆弱性に対しては何の保護も提供しません。ステーブルコインが主流採用に向かう中で、この事件は、ガバナンスと鍵管理のインフラもスマートコントラクトのセキュリティと同じ厳格さで扱う必要があることを強調しています。さもなければ、次のペッグ崩壊は回復しないかもしれません。

UNI-3.48%

ETH-0.75%

原文表示