StablR 发行的欧元稳定币(EURR)和美元稳定币(USDR)于 5 月 24 日在以太坊链上相继脱锚,原因是项目的铸币合约遭遇漏洞,攻击者借此盗走约 280 万美元。
区块链安全公司 Blockaid 迅速识别了此轮攻击,并指出本次资金损失源于私钥泄露,而非 StablR 智能合约本身存在技术漏洞。
攻击者如何接管 StablR 控制权
负责 StablR 代币发行的多签合约,原本仅需 3 名授权签名者中的任意 1 人即可执行操作。该 1/3 签名门槛极大放大了风险,使得一把私钥泄露即足以让黑客掌控合约控权。
攻击者通过添加自己的地址为新 owner,并移除另外 2 名真实持钥人,从而单方面取得操作权限。随后直接铸造了 835 万枚 USDR 和 450 万枚 EURR,总面值约为 1 040 万美元。
Blockaid 在 X 平台后续分析了攻击过程:
“这并非智能合约漏洞,而是密钥管理与治理机制失效所致。”
由于去中心化交易所(DEX)上的流动性极为有限,攻击者最终实现的套利金额也大幅缩水。
攻击者试图抛售价值 1 040 万美元的新铸代币,但由于交易池深度不足,实际换得仅约 1 115 枚 $ETH,合计约 280 万美元。
EURR 在以太坊市场的报价一度下挫约 20%,USDR 也因大量抛压直接跌破锚定价,流动性池被快速击穿。
反复暴露的治理盲区
本次事件再次复刻了此前多起稳定币项目因权限控制失效、未经授权的大规模铸币导致迅速脱锚的旧案。
更广泛来看,该漏洞属于 DeFi 领域私钥失窃的又一典型案例。近年来,这类事件频发,也直接推高了 加密货币盗窃的历史纪录。
2026 年初,Resolv 稳定币项目也遭遇过几乎相同的攻击,同样因单一密钥保护不足,黑客实现了无限量铸币,快速收割资金。
StablR 拥有马耳他金融监管机构颁发的电子货币机构(EMI)牌照,且按照欧盟《加密资产市场监管条例》(MiCA)的要求运营。
该平台于 2024 年底获得了 Tether 的战略投资。至于这层监管和资金关联将在后续恢复应对中如何发挥作用,目前尚未有相关公开说明。
