Взлом StablR — хороший пример того, что у стейблкойна может быть «резерв», «аудит» и «регуляторная лицензия», но он всё равно ломается через админские ключи.
StablR — мальтийский эмитент стейблкоинов EURR и USDR. На своём сайте компания пишет, что токены обеспечены фиатными резервами 1:1, резервы проверяет Grant Thornton, а StablR Ltd. авторизована MFSA как финансовая организация / EMI для выпуска Electronic Money Tokens по MiCA.
Суть атаки: по данным Blockaid, злоумышленник получил приватный ключ одного из владельцев minting multisig — мультиподписи, управляющей выпуском токенов. Но мультисиг был сделан с порогом 1 из 3, то есть одного скомпрометированного ключа хватало для контроля. Атакующий добавил себя владельцем, заменил двух легитимных владельцев и выпустил 8,35 млн USDR и 4,5 млн EURR.
Дальше он начал сливать свеженапечатанные токены через DEX. Номинально выпущенных токенов было больше, но ликвидность в пулах оказалась тонкой: из них удалось вытащить примерно 1115 ETH, или около $2,8 млн. Поэтому это не кража банковского резерва в классическом смысле, а печать необеспеченных токенов и их быстрый сброс в рынок.
Последствие — отвязка от курса. Cointelegraph писал, что EURR падал примерно до $0,88 вместо евро-пега, а USDR — до $0,70 вместо $1; другие трекеры утром 24 мая показывали EURR около $0,90 и падение более чем на 20%.
Главная формула этой истории: это не «баг смарт-контракта», а провал управления ключами. Для фиатных стейблкоинов критичны роли mint / pause / freeze / upgrade: кто может печатать, останавливать, замораживать, обновлять контракт. Нормальная архитектура требует разделения полномочий, настоящего multisig-порога, timelock и аварийных процедур; 1-of-3 для mint-права — почти single point of failure.
Самое неприятное для доверия: публичная status-страница StablR на момент просмотра показывала «All Systems Operational» и «No incidents reported today» за 24 мая, хотя внешние ончейн-аналитики уже описывали атаку и депег.
Вывод для текста: «обеспеченность резервами» не спасает, если кто-то может нажать кнопку печати. У стейблкоина есть не только риск «а есть ли деньги в банке?», но и риск «кто держит ключи от принтера?».
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.
Читайте нашу книгу про обман в крипте:
Сообщить о мошенниках или задать вопрос Памятка о возврате от мошенников Телеграм-канал и чат Вкладер Белый список инвестиций