Европейский эмитент стейблкоинов StablR в ночь с 24 мая на 25 мая подвергся многократной подписи атаке: злоумышленники украли приватные ключи 1/3 мультиподписи контракта чеканки. В течение примерно 3 часов они наминтили 8,35 млн USDR и 4,5 млн EURR и затем распродали их на децентрализованной бирже, что привело к падению EURR примерно до 0,85 доллара и USDR — примерно до 0,64 доллара.
Технический механизм атаки: как была пробита 1/3 пороговая мультиподпись
Blockaid подтвердил, что техническая первопричина атаки — утечка приватного ключа одного из подписантов в механизме чеканки мультиподписи StablR. Функция чеканки StablR использует 1/3 мультиподпись (порог 1/3), то есть для выполнения чеканки достаточно одобрения лишь одного из трех уполномоченных подписантов. Злоумышленник использовал утекший ключ следующим образом: добавил себя в администраторы; заменил исходного легитимного владельца; за 3 часа завершил несанкционированный минт 8,35 млн USDR и 4,5 млн EURR.
Злоумышленник также дополнительно воспользовался полученным административным контролем: он внес в черный список и уничтожил токены, как минимум, одного легитимного контрагента — on-chain записи подтверждают как минимум один случай уничтожения примерно 2,7 млн EURR (примерно 2,4 млн долларов); эти токены поступали с кошелька, который месяцами проводил обычные выкупы (redeem) с StablR. Начальное пополнение средств кошелек атакующего осуществил через кроссчейн-расчетный протокол Circle на Noble (CCTP).
Подтвержденные данные о реальных потерях и влиянии на рынок
Blockaid проанализировал и подтвердил: токены на номинальную стоимость примерно 10,4 млн долларов были обменены на ETH на децентрализованной бирже, но из-за значительного проскальзывания из-за недостаточной ликвидности оценка фактической чистой прибыли от атаки составляет около 2,8 млн долларов. По состоянию на утро в воскресенье кошельки атакующего, помеченные Etherscan как «StablR Exploiter 2», удерживают 1 488 ETH (около 3,15 млн долларов). ZachXBT помог заморозить похищенные средства шестизначной суммы.
По ценам: по данным CoinGecko EURR торговался примерно по 0,85 доллара (курс привязки евро к доллару — около 1,15 доллара, падение примерно на 26%); USDR упал до примерно 0,64 доллара (падение примерно на 36%). На Ethereum общий объем предложения евро-стейблкоинов сейчас составляет около 0,24% от общего предложения поддерживающих стейблкоинов на фиат в сети Ethereum.
Часто задаваемые вопросы
Насколько безопасен 1/3 порог мультиподписи в индустрии и почему его сочли недостатком дизайна?
Принцип безопасного проектирования мультиподписи (Multisig) — увеличить количество ключей, которые должен взломать атакующий; чем ниже порог, тем проще его пробить. Порог 1/3 (одна треть) означает, что злоумышленнику достаточно контролировать лишь одного из трех уполномоченных подписантов, чтобы полностью выполнять операции с высокими привилегиями, такие как чеканка. Сравнение по индустрии: в 2022 году в мосту Harmony Horizon до кражи 100 млн долларов использовался порог 2/5; тогда уже отмечали аналитики безопасности, что это недостаточный уровень защищенности. Gnosis Safe и другие популярные мультиподписные решения обычно рекомендуют 3/5 или более высокий порог для операций уровня «протокольные высокие привилегии». Blockaid прямо указал, что порог 1/3 — это проблема управленческих решений и управления ключами в StablR, а не уязвимость непосредственно в коде смарт-контракта.
Как контекст соответствия MiCA у StablR и инвестиции Tether/Kraken повлияли на этот инцидент?
MiCA (Регулирование рынков криптоактивов) в основном регулирует требования к резервам стейблкоинов, лицензии на выпуск и раскрытие рисков; она не содержит прямого требования к конкретным техническим аспектам безопасности смарт-контрактов. StablR имеет лицензию на электронные деньги MFSA и статус соответствия MiCA, но эти регуляторные признания не охватывают выбор безопасного дизайна при развертывании контрактов. Tether и Kraken как стратегические инвесторы также не понесли прямых финансовых потерь в этом инциденте, однако событие повлияло на их репутацию инвестиций в соответствующем европейском рынке стейблкоинов.
Как эта атака отражает общее изменение паттернов угроз в криптобезопасности в 2026 году?
Анализ Blockaid и несколько ключевых случаев атак в 2026 году указывают на одну и ту же тенденцию: крупнейшие потери больше не возникают из-за уязвимостей в новом коде смарт-контрактов, а из-за проектных ошибок в привилегированном доступе, архитектуре управления и управлении ключами. Инцидент Drift Protocol 1 апреля (потери более чем 280 млн долларов) тоже реализовал перенос средств через Circle CCTP и включал паттерн атаки через привилегированный доступ. Данные DeFiLlama подтверждают: апрель 2026 года — месяц с наибольшим количеством хакерских атак в истории криптовалют в одном календарном месяце. Дизайн мультиподписи 1/3 у StablR и мультиподписи 2/5 у Harmony показывают, что при масштабировании протоколы часто предпочитают операционное удобство вместо избыточной безопасности ключей.
