#TradeCFDWinGold Hợp đồng Stablecoin StablR Gặp Sự cố Lớn; EURR và USDR Mất Peg 20%

NGÀY 24 THÁNG 5 NĂM 2026 — Hợp đồng stablecoin StablR đã bị tấn công bởi một lỗ hổng quản trị nghiêm trọng trong cuối tuần, dẫn đến việc chiếm đoạt độc hại các hợp đồng token của nó và một sự kiện đúc tiền trái phép quy mô lớn. Kẻ tấn công đã thành công trong việc thay thế quyền sở hữu của hợp đồng, sau đó đúc và bán tháo hàng triệu đô la giá trị của stablecoin Euro (EURR) và USD (USDR) bản địa của nó, khiến cả hai tài sản này mất peg một cách đột ngột 20%.
Cấu trúc của cuộc tấn công
Theo dữ liệu theo dõi trên chuỗi do công ty an ninh Blockaid tổng hợp, vụ việc nhắm vào bộ phận an ninh cốt lõi của ví đa chữ ký (multisig) của dự án StablR.
Khi kẻ tấn công thành công trong việc chiếm quyền quản lý của các hợp đồng thông minh USDR và EURR, họ thực hiện một cuộc khai thác hai chiều:
Đúc token: Những kẻ khai thác bất hợp pháp đã đúc 8,35 triệu USDR và 4,5 triệu EURR mà không có bất kỳ tài sản thế chấp nào hỗ trợ.
Thanh lý: Những token mới đúc này nhanh chóng bị bán tháo trên các sàn giao dịch phi tập trung (DEX) để lấy Ethereum. Vì thanh khoản trong các pool này khá mỏng, lượng token lớn đổ vào đã gây ra trượt giá cao.
Phần thưởng: Kẻ tấn công đã thành công trong việc đổi 10,4 triệu đô la giá trị mặt của stablecoin không có tài sản thế chấp để đổi lấy 1.115 ETH (ước tính khoảng 2,8 triệu đô la).
Phân tích các lỗi quản trị
Các nhà phân tích an ninh nhấn mạnh rằng vụ việc này không phải do một lỗ hổng phức tạp trong mã hợp đồng thông minh điển hình. Thay vào đó, nó hoàn toàn bắt nguồn từ những sai sót nghiêm trọng trong quản trị nền tảng của giao thức và sự giám sát vận hành của nhà phát hành stablecoin.
🛑 Các lỗ hổng quản trị nghiêm trọng bị khai thác
Ngưỡng chữ ký 1 trong 3: Ví đa chữ ký đã được cấu hình không đúng theo kiểu lỏng lẻo với ngưỡng 1 trong 3. Điều này có nghĩa là một chữ ký được phép có thể thực thi bất kỳ lệnh nào ở cấp cao nhất. Do đó, chỉ cần xâm phạm một chìa khóa chủ sở hữu là kẻ tấn công đã có toàn quyền vận hành hệ thống, cho phép họ tự thêm mình vào hoặc loại bỏ các chủ sở hữu hợp pháp còn lại.
Quản lý chìa khóa riêng sơ sài: An ninh vận hành kém (OpSec) đã dẫn trực tiếp đến việc lộ và rò rỉ chìa khóa riêng của một chủ sở hữu, cung cấp cho kẻ tấn công chữ ký duy nhất mà họ cần.
Thiếu cơ chế khóa thời gian: Giao thức hoàn toàn thiếu cơ chế khóa thời gian. Vì không có sự trì hoãn bắt buộc hoặc giai đoạn xác nhận thứ hai để hoàn tất các nâng cấp quản trị, kẻ tấn công đã có thể ngay lập tức chuyển quyền sở hữu và thực hiện đúc tiền mà không có thời gian dự trữ để nhóm can thiệp.
Ngược đãi về quy định: StablR đã tự định vị là một nhà phát hành stablecoin hoàn toàn tuân thủ, 100% thế chấp, hướng tới khung pháp lý MiCA của EU. Trong khi hệ thống dự trữ và các tài khoản fiat phân tách vẫn còn nguyên vẹn, vụ khai thác này gửi đi một bài học quan trọng cho ngành: tuân thủ quy định và kiểm toán nghiêm ngặt không bảo vệ được một giao thức nếu các lớp an ninh vận hành hàng ngày của nó bị tổn thất do các lỗ hổng tập trung vào điểm yếu duy nhất.