Утром 24 мая 2026 года служба безопасности Blockaid зафиксировала активный взлом на платформе StablR. Атака обвалила оба стейблкоина эмитента: евровый EURR просел на 23%, долларовый USDR упал на 30%. Официальный X-аккаунт StablR на момент публикации не выпустил никаких комментариев.
От одного скомпрометированного ключа до контроля над эмиссией
Злоумышленник нашел слабое место в схеме доступа. Минтинговый мультиподпись StablR работал по порогу 1-of-3: чтобы подписать любую операцию, достаточно одного из трёх владельцев. Компания Blockaid, обнаружившая атаку, подтвердила: именно один из этих ключей оказался скомпрометирован. Причина потери ключа пока не раскрыта.
Получив доступ, злоумышленник действовал без остановок. Он добавил себя в список владельцев мультиподписи, вытеснил двух других и получил единоличный контроль над механизмом эмиссии. После этого были сминтированы 8,35 млн USDR и 4,5 млн EURR, что в сумме составило около $10,4 млн по рыночному курсу на момент атаки.
Но ликвидность торговых пулов на децентрализованных биржах оказалась крайне низкой. Обменять весь объём по справедливой цене не получилось. Злоумышленник получил 1 115 ETH и реально вывел около $2,8 млн. Остальные, более $7 млн, застряли в пулах в виде обесцененных токенов. Тонкая ликвидность ограничила реальный отток, но для держателей EURR и USDR это не облегчение.
Цены EURR и USDR после атаки
Евровый EURR имеет рыночную капитализацию $14 млн и до атаки торговался около $1,15, что соответствовало текущему курсу EUR/USD. После атаки CoinGecko зафиксировал падение до $0,88, то есть минус 23%. Для стейблкоина любое отклонение свыше 2-3% является тревожным сигналом. 23% означают, что актив вышел из режима стабильного и торгуется как обычный рисковый токен.
Долларовый USDR показал худший результат. Токен с капитализацией $11 млн упал до $0,70, то есть минус 30% от номинала. Тот, кто хранил $10 000 в USDR, увидел остаток $7 000 без каких-либо собственных действий.
Для сравнения: во время краха UST в 2022 году причина депега была структурной и связанной с алгоритмическим дизайном. В случае StablR реальные резервы остались нетронутыми в обособленных банковских счетах. Теоретически восстановление привязки возможно, если команда исправит доступ и объявит чёткий план действий. Но рынок ждёт официального сигнала, и пока его нет, давление продавцов никуда не денется.
Провал управления ключами, а не кода
Blockaid в своём сообщении чётко разграничил природу уязвимости.
"Это не баг смарт-контракта. Это провал управления ключами и governance."
- Blockaid, отчёт от 24 мая 2026 года
Код StablR написан без известных уязвимостей. Проблема в том, как команда настроила административный доступ. Схема 1-of-3 считается приемлемой для тестовых или малозначимых операций. Для протокола, управляющего десятками миллионов долларов, отраслевой стандарт требует минимум 3-of-5 или 4-of-7. При такой конфигурации компрометация одного ключа не даёт атакующему никакого практического рычага для захвата эмиссии.
Злоумышленник изменил состав подписантов без какой-либо задержки. В нормальной операционной практике любое изменение конфигурации мультиподписи проходит таймаут от 24 до 72 часов. Этот промежуток даёт системе мониторинга время обнаружить аномальную активность и заблокировать транзакцию до исполнения. Открытые дашборды для отслеживания операций мультиподписи в реальном времени стали стандартом в зрелых протоколах, но StablR такого инструмента не имел.
Май 2026: месяц атак через приватный ключ
StablR в мае не один. DeFiLlama насчитал за месяц более дюжины крупных DeFi-инцидентов. Среди пострадавших от компрометации ключей:
- THORChain: вредоносный узел и баг алгоритма GG20 открыли доступ к средствам протокола
- Polymarket: взлом кошелька для пополнения привёл к утечке более $600 тыс.
- Echo Bridge и Wasabi Perps: скомпрометированные админ-ключи дали злоумышленникам административный контроль
- Verus Bridge: злоумышленник после предложения баунти вернул $8,5 млн
Общая черта большинства этих случаев: смарт-контракты написаны без критических изъянов. Путь к средствам атакующие находят не через код, а через человека или процесс, хранящий привилегированный ключ. Это меняет приоритеты при оценке рисков. Проверить кодовую базу через аудит стало нормой. Но выяснить, кто держит подписантские ключи, по какому порогу и с каким временем задержки на критические операции, значительно сложнее. Большинство проектов не раскрывают эту информацию публично.
Регулируемый статус не равен защите активов
StablR позиционировал себя как регулируемый эмитент евростейблкоинов. Резервы хранились в обособленных счетах первоклассных банков, прозрачность подтверждалась через proof-of-reserves. Компания Tether, крупнейший в мире эмитент USDT, инвестировала в StablR в декабре 2024 года. Эта сделка повысила доверие рынка к EURR и USDR и привлекла институциональных клиентов.
Но взлом показывает разрыв между соответствием регуляторным требованиям и реальной защитой операционной инфраструктуры. Правила MiCA устанавливают стандарты резервов, отчётности и лицензирования. Конкретный порог мультиподписи или обязательные таймауты на административные операции эти правила не предусматривают. Именно этот пробел атака на StablR сделала публичным.
Для держателей евростейблкоинов из этого следует практический вывод. Регулируемый статус и качественный код являются необходимыми условиями, но недостаточными. Архитектура управленческого доступа решает не меньше: кто подписанты, сколько их нужно для подписания и есть ли таймаут на критические операции. Если проект не раскрывает эти данные публично, это дополнительный риск вне зависимости от наличия лицензии.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *