Ранком 24 травня 2026 року служба безпеки Blockaid зафіксувала активний злам на платформі StablR. Атака обвалила обидва стейблкоїни емітента: євровий EURR просів на 23%, доларовий USDR впав на 30%. Офіційний X-акаунт StablR на момент публікації не видав жодного коментаря.
Від одного скомпрометованого ключа до контролю над емісією
Нападник знайшов слабке місце у схемі доступу. Мінтинговий мультіпідпис StablR працював за порогом 1-of-3: щоб підписати будь-яку операцію, достатньо одного з трьох власників. Компанія Blockaid, яка виявила атаку, підтвердила: саме один із цих ключів виявився скомпрометованим. Причина втрати ключа поки не розкрита.
Здобувши доступ, зловмисник діяв без зупинок. Він додав себе до переліку власників мультіпідпису, витіснив двох інших і отримав одноосібний контроль над механізмом емісії. Після цього були відкарбовані 8,35 млн USDR та 4,5 млн EURR, що разом склало близько $10,4 млн за ринковим курсом на момент атаки.
Проте ліквідність торгових пулів на децентралізованих біржах виявилась надзвичайно низькою. Обміняти весь обсяг за справедливою ціною не вийшло. Нападник отримав 1 115 ETH і реально вивів близько $2,8 млн. Решта, більше $7 млн, застрягла у пулах у вигляді знецінених токенів. Тонка ліквідність обмежила реальний відтік, але власникам EURR та USDR від цього не легше.
Ціни EURR та USDR після атаки
Євровий EURR має ринкову капіталізацію $14 млн і до атаки торгувався близько $1,15, що відповідало поточному курсу EUR/USD. Після атаки CoinGecko зафіксував падіння до $0,88, тобто мінус 23%. Для стейблкоїна будь-яке відхилення понад 2-3% є тривожним сигналом. 23% означають, що актив вийшов з режиму стабільного і торгується як звичайний ризиковий токен.
Доларовий USDR показав гірший результат. Токен з капіталізацією $11 млн впав до $0,70, тобто мінус 30% від номіналу. Хтось, хто зберігав $10 000 у USDR, побачив залишок $7 000 без жодних власних дій.
Для порівняння: під час краху UST у 2022 році причина депегу була структурною, пов'язаною з алгоритмічним дизайном. У випадку StablR реальні резерви залишились цілими у відокремлених банківських рахунках. Теоретично відновлення прив'язки можливе, якщо команда виправить доступ і оголосить чіткий план дій. Але ринок чекає на офіційний сигнал, і без нього тиск продавців нікуди не зникне.
Провал управління ключами, а не коду
Blockaid у своєму повідомленні чітко розмежував природу вразливості.
"Це не баг смарт-контракту. Це провал управління ключами та governance."
- Blockaid, звіт від 24 травня 2026 року
Код StablR написаний без відомих вад. Проблема в тому, як команда налаштувала адміністративний доступ. Схема 1-of-3 вважається прийнятною для тестових або малозначних операцій. Для протоколу, що керує десятками мільйонів доларів, галузевий стандарт вимагає щонайменше 3-of-5 або 4-of-7. При такій конфігурації компрометація одного ключа не дає атакуючому жодного практичного важеля для захоплення емісії.
Нападник змінив склад підписантів без жодної затримки. У здоровій операційній практиці будь-яка зміна конфігурації мультіпідпису проходить тайм-аут від 24 до 72 годин. Цей проміжок дає системі моніторингу час виявити аномальну активність і заблокувати транзакцію до виконання. Відкриті дашборди для відстеження операцій мультіпідпису у реальному часі стали стандартом у зрілих протоколах, але StablR такого інструменту не мав.
Травень 2026: місяць атак через приватний ключ
StablR у травні не один. DeFiLlama нарахував за місяць понад дюжину великих DeFi-інцидентів. Серед тих, хто постраждав через компрометацію ключів:
- THORChain: зловмисний вузол та баг алгоритму GG20 відкрили доступ до коштів протоколу
- Polymarket: злам гаманця для поповнення призвів до витоку понад $600 тис.
- Echo Bridge та Wasabi Perps: скомпрометовані адмін-ключі дали зловмисникам адміністративний контроль
- Verus Bridge: зловмисник після пропозиції баунті повернув $8,5 млн
Спільна риса більшості цих випадків: смарт-контракти написані без критичних вад. Шлях до коштів атакуючі знаходять не через код, а через людину або процес, що зберігає привілейований ключ. Це змінює пріоритети при оцінці ризиків. Перевірити кодову базу через аудит стало нормою. Але з'ясувати, хто тримає підписантські ключі, за яким порогом і з яким часом затримки на критичні операції, значно складніше. Більшість проектів не розкривають цю інформацію публічно.
Регульований статус не дорівнює захисту активів
StablR позиціонував себе як регульований євростейблкоїн-емітент. Резерви зберігались у відокремлених рахунках першорядних банківських установ, прозорість підтверджувалась через proof-of-reserves. Компанія Tether, найбільший у світі емітент USDT, інвестувала в StablR у грудні 2024 року. Ця угода підняла довіру ринку до EURR та USDR і залучила інституційних клієнтів.
Але злам показує розрив між відповідністю регуляторним вимогам та реальним захистом операційної інфраструктури. Правила MiCA встановлюють стандарти резервів, звітності та ліцензування. Конкретний поріг мультіпідпису або тайм-аути на адміністративні операції ці правила не передбачають. Саме цю прогалину атака на StablR зробила публічною.
Для власників євростейблкоїнів з цього випливає практичний висновок. Регульований статус і якісний код є необхідними умовами, але недостатніми. Архітектура управлінського доступу вирішує не менше: хто підписанти, скільки їх потрібно для підписання і чи є тайм-аут на критичні операції. Якщо проект не розкриває ці дані публічно, це додатковий ризик незалежно від наявної ліцензії.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *