Стейблкоїни StablR’s Euro (EURR) та StablR USD (USDR) втратили прив’язку на Ethereum 24 травня 2025 року через експлуатацію у смартконтракті випуску токенів, що дозволила несанкціоновано вивести близько $2,8 млн.
Фахівці з безпеки блокчейну компанії Blockaid зафіксували атаку та пов’язали злам із компрометацією приватного ключа, а не дефектами смартконтрактів StablR.
Як зловмисник отримав контроль над StablR
Мультипідпис випуску токенів StablR вимагав лише одного із трьох дозволених підписів для ініціювання операцій. Такий поріг 1-з-3 давав змогу здобути повний контроль над контрактом у разі компрометації одного ключа.
Зловмисник додав свою власну адресу як власника та видалив двох легітимних підписантів. Після цього було надруковано 8,35 млн USDR та 4,5 млн EURR — сумарна номінальна вартість складала близько $10,4 млн за паритетом.
У подальшій публікації на X компанія Blockaid деталізувала послідовність подій:
«Це не баг у смартконтракті – а провал у сфері керування ключами та процедур управління».
Обмежена ліквідність на децентралізованих біржах (DEX) суттєво знизила потенційний прибуток атакуючого.
Конвертація $10,4 млн щойно випущених токенів у низьколіквідних пулах принесла лише близько 1 115 ETH, що становить приблизно $2,8 млн.
EURR знизився приблизно на 20% на ліквідності Ethereum, а USDR також втратив доларову прив’язку — обсяги пропозиції суттєво перевищили доступні в пулах ресурси.
Хронічна прогалина в управлінні
Цей інцидент має аналогії з попередніми атаками на стейблкоїни, де несанкціонований випуск зумовлював швидке відхилення від паритету.
Явище є частиною давньої тенденції DeFi-інцидентів через компрометацію приватного ключа, яка зумовила історичні обсяги крадіжок криптоактивів за останні роки.
Схожий інцидент із Resolv наприкінці 2026 року відбувався за ідентичною схемою — контроль над вагомим випуском був сконцентрований у недостатньо захищеному ключі.
StablR має ліцензію Electronic Money Institution (EMI), надану фінансовим регулятором Мальти. Діяльність компанії здійснюється відповідно до європейського нормативу Markets in Crypto-Assets (MiCA).
У кінці 2024 року StablR залучила стратегічні інвестиції від Tether. Чи вплинуть регуляторні та фінансові зв’язки на подальші дії у відновленні — інформація відсутня.
