#StablRStablecoinDepegsAfterExploit

2026年5月24日，一次毁灭性的漏洞攻击袭击了马耳他注册的稳定币发行商StablR，导致其两大主要稳定币USDR和EURR失去了锚定。这并非是复杂的智能合约黑客攻击，而是基本密钥管理的灾难性故障——攻击者攻破了一个1-of-3多签钱包中的单个私钥，获得了完全的铸币控制权，并制造出价值13.5百万美元的无担保代币。

被攻破的密钥属于StablR铸币账户的签名者。由于执行敏感的管理操作只需要1-of-3的签名阈值，攻击者只需获得一把被盗密钥就能完成接管。利用被盗的密钥，攻击者将自己的地址添加为所有者，系统性地移除所有合法签名者，并获得对铸币功能的完全控制。

这一操作安全失误使其能够通过一系列交易铸造835万USDR和450万EURR——这是一场没有法币背书的巨额供给冲击。随后，攻击者立即在去中心化交易所（主要是Uniswap）将铸造出的资产兑换为ETH。然而，由于流动性薄弱，攻击者以大幅折扣出售，最终从被铸造代币的13.5百万美元面值中只净赚了**1,115 ETH（约2.8百万美元）**。

市场影响与脱锚

市场影响来得又快又凶。随着新铸造、未背书的供给被倾倒到DEX上，USDR遭受了最严重的打击，跌幅达到30%，最低至**0.70美元**。一些报告显示，USDR在恐慌高峰时最低曾跌至**0.40美元**，也有报道指出其最低跌至**0.26美元**。EURR下跌**23%**，相对其在EUR/USD市场的1.15美元锚定大约跌至**0.88美元**——这是为维持稳定价值而设计的资产出现的严重偏离。此次漏洞还触发了USDR与EURR之间的脱钩，打破了这两种同一发行方稳定币之间原本预期的定价关系。

StablR并非小型团队。作为欧盟MiCA框架下的受监管电子货币机构，发行商声称其储备实现1:1的法币支持，储备金存放在顶级机构的隔离账户中。此外，Tether在2024年12月投资了StablR，以推动欧洲稳定币的采用——这一背书如今凸显，即使是资金充足、受监管的参与者，也可能因为内部运维层面的薄弱环节而失败。

行业反应与监管含义

最早标记出正在进行中的漏洞的区块链安全公司Blockaid，对此评估非常直白，称：“这不是智能合约漏洞——这是密钥管理和治理的失败。”链上侦探ZachXBT也是最早公开向社区通报与StablR相关合约中可疑活动的人之一。

作为回应，StablR在其X平台上宣布其已识别该漏洞，并正在积极遏制其影响，更多细节将在验证后分享。据报道，发行方还迅速冻结了被盗资金中的数百万美元，但用户资产能否完全追回仍不确定。

StablR事件也延续了DeFi中令人担忧的趋势：仅在2026年5月，就报告了十多起重大漏洞。本月其他备受关注的泄露事件还包括THORChain（1000万美元）、Verus Bridge、Echo Protocol、Polymarket等。许多这类攻击的共同点并非复杂的代码利用，而是私钥被攻破和治理失败——这也是行业至今仍在努力应对的攻击路径。

最后的话

StablR漏洞事件堪称一则警示：监管合规、机构背书和法币储备意义不大，如果铸币权限实际上是由一个单点故障来控制。MiCA框架或许能为储备和透明度设定标准，但它无法防止1-of-3多签与糟糕的操作安全相结合。随着稳定币向主流迈进，这次事件表明，治理和密钥管理基础设施必须像智能合约安全一样受到同等严谨的对待——否则，下一个脱锚事件可能就无法挽回。

#StablR #StablecoinDepeg #DeFiHack #CryptoSecurity