#TradeCFDWinGold StablR протокол стабильных монет терпит крупную уязвимость; EURR и USDR потеряли привязку на 20%

24 МАЯ 2026 — Протокол стабильных монет StablR был подвергнут разрушительной уязвимости в области управления в выходные, что привело к злонамеренному захвату его контрактов токенов и масштабному несанкционированному созданию монет. Злоумышленник смог заменить права владельца протокола, после чего создал и сбросил миллионы долларов стоимости его нативных евро (EURR) и долларов США (USDR) стабильных монет, что вызвало резкое снижение их привязки на 20%.
Анатомия атаки
Согласно данным отслеживания в блокчейне, собранным компанией по безопасности Blockaid, инцидент был специально нацелен на основное средство безопасности мультиподписного (мультисиг) кошелька проекта StablR.
Как только злоумышленник успешно захватил управленческие права для умных контрактов USDR и EURR, он осуществил двухстороннюю операцию по извлечению:
Создание токенов: злоумышленники незаконно создали 8,35 миллиона USDR и 4,5 миллиона EURR без обеспечения.
Ликвидация: Эти новые токены быстро были сброшены на децентрализованных биржах (DEX) за Ethereum. Поскольку ликвидность в этих пулах была низкой, массовое поступление токенов вызвало высокое проскальзывание.
Награда: Злоумышленник успешно обменял $10,4 миллиона неподдерживаемых стабильных монет на 1 115 ETH (оценочно около $2,8 миллиона).
Анализ сбоев в управлении
Аналитики безопасности подчеркивают, что этот инцидент не был вызван типичной, сложной уязвимостью в коде смарт-контракта. Вместо этого он полностью связан с серьезными, фундаментальными ошибками в управлении протоколом и операционным контролем со стороны эмитента стабильных монет.
🛑 Критические уязвимости в управлении, использованные злоумышленниками
Порог подписи 1 из 3: мультиподписной кошелек был неправильно настроен на слабый порог 1 из 3. Это означало, что одна авторизованная подпись могла выполнить любую команду верхнего уровня. В результате, компрометация всего одной ключа владельца предоставляла злоумышленнику полный операционный контроль над всей системой, позволяя добавлять себя и удалять остальных законных владельцев.
Небрежное хранение приватных ключей: плохая операционная безопасность (OpSec) напрямую привела к раскрытию и утечке приватного ключа одного из владельцев, что дало злоумышленнику необходимую единственную подпись.
Отсутствие механизма блокировки по времени: протокол полностью лишен механизма тайм-лок. Поскольку не было обязательной задержки или вторичной фазы подтверждения для завершения административных обновлений, злоумышленник смог мгновенно переключить права владения и выполнить создание монет без времени на вмешательство команды.
Парадокс соответствия: StablR позиционировал себя как полностью соответствующий требованиям, 100%-залоговый эмитент стабильных монет, ориентированный на рамки рынка криптоактивов ЕС (MiCA). Хотя его системы резервного обеспечения и сегрегированные фиатные счета оставались целыми, этот уязвимость показывает важный урок для индустрии: соблюдение нормативных требований и строгий аудит не защищают протокол, если его ежедневные операционные уровни безопасности страдают от уязвимостей централизованных точек отказа.