#TradeCFDWinGold StablR Stablecoin Protocol зазнав серйозної експлуатації; EURR та USDR втратили прив’язку на 20%

24 ТРАВНЯ 2026 — Протокол стабільної монети StablR зазнав руйнівної атаки через зловмисну експлуатацію управління у вихідні, що призвело до зловмисного захоплення його контрактів токенів та масштабної несанкціонованої емісії. Зловмисник зміг замінити дозволи власника протоколу, а потім емісії та продажу мільйонів доларів в його рідних євро (EURR) та доларових (USDR) стабільних монет, що спричинило різке падіння прив’язки обох активів на 20%.
Анатомія атаки
Згідно з даними відстеження в блокчейні, зібраними компанією з безпеки Blockaid, інцидент був спрямований саме на основний механізм безпеки мультипідписного (multisig) гаманця проекту StablR.
Після успішного захоплення управлінських дозволів для смарт-контрактів USDR та EURR, зловмисник здійснив двопланову операцію вилучення:
Мінімізація токенів: Зловмисники незаконно створили 8,35 мільйонів USDR та 4,5 мільйонів EURR без будь-якої забезпеченої застави.
Ліквідація: Ці новостворені токени швидко були продані на децентралізованих біржах (DEXs) за Ethereum. Оскільки ліквідність у цих пулах була низькою, масовий приплив токенів викликав високий проскальзинг.
Винагорода: Зловмисник успішно обміняв $10,4 мільйона незабезпечених стабільних монет на 1,115 ETH (оцінюваних приблизно у $2,8 мільйона).
Аналіз провалів управління
Аналітики безпеки підкреслюють, що ця інцидент не був викликаний типовою, складною вразливістю коду смарт-контракту. Замість цього, він повністю виник через серйозні, фундаментальні недоліки управління протоколом та операційний контроль з боку емітента стабільної монети.
🛑 Виявлені критичні недоліки управління
Порог підпису 1 з 3: Мультипідписний гаманець був неправильно налаштований на слабкий поріг 1 з 3. Це означало, що один авторизований підпис міг виконати будь-яку команду верхнього рівня. Відтак, компрометація лише одного ключа власника дала зловмиснику повний оперативний контроль над системою, дозволяючи додавати себе та видаляти інших справжніх власників.
Недбале зберігання приватних ключів: Погана операційна безпека (OpSec) безпосередньо призвела до витоку приватного ключа власника, що дало зловмиснику потрібний один підпис.
Відсутність механізму блокування за часом: У протоколі повністю відсутній механізм тайм-локу. Оскільки не було обов’язкової затримки або другого підтвердження для завершення адміністративних оновлень, зловмисник міг миттєво змінити дозволи власності та виконати емісію без будь-якого часу для втручання команди.
Парадокс відповідності: StablR позиціонував себе як повністю відповідальний, 100%-забезпечений емітент стабільних монет, орієнтований на рамки MiCA ЄС. Хоча його резервні системи та сегреговані фіатні рахунки залишалися цілісними, цей злом відкриває важливий урок для галузі: регуляторна відповідність і строгий аудит не захищають протокол, якщо його щоденні операційні рівні безпеки мають централізовані вразливості з однією точкою відмови.