StablR зазнав атаки з багаторазовими підписами, EURR і USDR вийшли з прив’язки: 13,5 млн токенів було карбовано

Європейський емітент стейблкоїнів StablR 24 травня ввечері — 25 травня вранці зазнав багатопідписної атаки. Зловмисники викрали приватний ключ 1/3 багатопідпису карбувального контракту, і приблизно за 3 години карбували 8,35 млн USDR та 4,5 млн EURR, після чого вивантажили їх на децентралізованій біржі. Це призвело до падіння EURR приблизно до $0,85, а USDR — приблизно до $0,64.

Технічний механізм атаки: як було “пробито” поріг 1/3 у багатопідписах

Blockaid підтвердив, що технічною першопричиною цієї атаки стала витік приватного ключа одного з підписантів у механізмі карбування багатопідпису StablR. Функція карбування StablR використовує багатопідпис 1/3 (поріг однієї третьої), тобто достатньо, щоб один із трьох уповноважених підписантів підтвердив карбування. Атакувальник реалізував це через приватний ключ, що витік: самостійно додав себе як адміністратора; замінив оригінальних легітимних власників; протягом 3 годин здійснив несанкціоноване карбування 8,35 млн USDR і 4,5 млн EURR.

Зловмисники також додатково використали отриманий адміністративний контроль, щоб додати в чорний список і знищити токени щонайменше одного легітимного торгового контрагента — ончейн-записи підтверджують щонайменше один випадок знищення приблизно 2,7 млн EURR (близько $2,4 млн). Ці токени походили з гаманця, який протягом кількох місяців виконував регулярні операції з викупу зі StablR. Початкове поповнення коштів гаманець атакувальника здійснив через міжланцюговий трансфер Circle на Noble за допомогою CCTP (Circle Cross-Chain Transfer Protocol).

Реальні збитки та підтверджений вплив на ринок: наявні дані

Blockaid проаналізував і підтвердив, що токени на номінальну вартість близько $10,4 млн були обміняні на ETH через децентралізовані біржі, однак через недостатню ліквідність і значний слайпаж фактичний чистий дохід від атаки оцінюється приблизно в $2,8 млн. Станом на ранок неділі атакувальницький концентрований гаманець, позначений Etherscan як “StablR Exploiter 2”, має 1 488 ETH (близько $3,15 млн). ZachXBT допоміг заморозити вкрадені кошти на шість значень.

У ціновому вимірі, за даними CoinGecko: ціна EURR впала приблизно до $0,85 (євро — доларовий якір у районі $1,15, падіння близько 26%); USDR впав до $0,64 (падіння близько 36%). Загальна пропозиція євростейблкоїнів на Ethereum нині становить близько 0,24% від загальної пропозиції стаблкоїнів, що підтримують фіат на Ethereum.

Поширені запитання

Наскільки безпечною є 1/3 порогова модель у багатопідписах у галузі, і чому її визнали недоліком проєктування?

Концепція безпеки багатопідпису (Multisig) полягає у збільшенні кількості ключів, які потрібно зламати атакувальнику; що нижчий поріг — то легше його пробити. Поріг 1/3 (одна третина) означає, що атакувальнику достатньо контролювати лише одного з трьох уповноважених підписантів, щоб повністю виконувати дії з високими привілеями, зокрема карбування. Порівняння з галуззю: у 2022 році міст Harmony Horizon до викрадання $100 млн використовував поріг 2/5, і тоді аналітики з безпеки вже вказували, що це недостатня безпечна конструкція; типові багатопідписні рішення на кшталт Gnosis Safe зазвичай рекомендують поріг 3/5 або вищий для високопривілейованих дій на рівні протоколу. Blockaid прямо зазначає, що поріг 1/3 — це проблема управлінських і рішень з управління ключами в StablR, а не вразливість самого коду смартконтракту.

Який вплив має MiCA-комплаєнс-бекграунд StablR і інвестиції Tether/Kraken на цю подію атаки?

MiCA (Regulation on Markets in Crypto Assets — регулювання ринків криптоактивів) переважно визначає вимоги до резервів стейблкоїнів, ліцензій для випуску та розкриття ризиків, але не містить безпосередніх вимог до конкретних технічних конструкцій безпеки смартконтрактів. StablR має ліцензію e-money від MFSA та комплаєнс-кваліфікацію MiCA, однак ці регуляторні визнання не охоплюють безпекові рішення щодо дизайну під час розгортання контрактів. Tether і Kraken як стратегічні інвестори також не зазнали безпосередніх фінансових збитків у межах цієї події, але інцидент вплинув на інвестиційну репутацію обох на європейському ринку комплаєнс-стейблкоїнів.

Як ця атака відображає загальну зміну патернів безпекових загроз у крипто у 2026 році?

Аналіз Blockaid та низка ключових атак у 2026 році вказують на ту саму тенденцію: найбільш масштабні втрати того року не були спричинені новими вразливостями в смартконтрактному коді, а походили з помилок проєктування привілейованого доступу, управлінської архітектури та керування ключами. Інцидент Drift Protocol від 1 квітня (збитки понад $280 млн) також використав Circle CCTP для перенесення коштів і включав патерн атак із привілейованим доступом; дані DeFiLlama підтверджують, що квітень 2026 року став місяцем із найбільшою кількістю хакерських інцидентів за всю історію крипто. Дизайн багатопідпису StablR 1/3 і багатопідпису Harmony 2/5 однаково натякають, що при масштабуванні протоколи часто надають пріоритет зручності операцій, а не безпечному надлишку захисту ключів.