24 мая 2026 года злоумышленник получил контроль над мультиподписными кошельками европейского эмитента стейблкоинов StablR и выпустил несанкционированные токены USDR и EURR примерно на $12.8 млн+. Это была не кража уже существующих резервов: атакующий создал новые токены из воздуха и продал их на рынке. Часть конвертированных средств — не менее ~$3.5 млн в ETH — на момент расследования остаётся на адресах злоумышленника.
Что такое StablR и что произошло
StablR — европейская компания, выпускающая стейблкоины (токены, чья цена жёстко привязана к реальной валюте). USDR привязан к доллару, EURR — к евро. По смыслу это цифровые аналоги банковских депозитов: за каждым выпущенным токеном должны стоять реальные деньги в резерве.
Управление выпуском этих токенов осуществлялось через мультиподписные кошельки. Мультиподпись — это механизм, при котором для выполнения любой операции требуется согласие сразу нескольких участников. Представьте сейф с двумя замками: чтобы открыть его, нужны ключи от двух разных людей. Это делается именно для того, чтобы один скомпрометированный ключ не привёл к катастрофе.
Однако злоумышленник получил доступ к правам одного из владельцев мультиподписи — и этого оказалось достаточно, чтобы начать менять состав участников.
Как именно это произошло:
1️⃣ Через скомпрометированный адрес владельца была отправлена транзакция на добавление нового адреса — 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 — в список доверенных владельцев кошелька.
2️⃣ Получив контроль, злоумышленник начал вызывать функцию выпуска (mint) и создавал токены без какого-либо реального обеспечения за ними.
3️⃣ Свежевыпущенные USDR и EURR были проданы через DEX-маршруты — децентрализованные биржи, где токены можно обменять без посредника — и конвертированы в ETH.
Почему это стало возможным
В нормальной системе мультиподписи компрометация одного ключа не должна давать полного контроля — на то и нужно несколько подписантов. Здесь либо атакующий получил доступ к достаточному количеству ключей, либо порог подписей был настроен так, что одного скомпрометированного доступа хватило, чтобы добавить нового участника и изменить правила игры в свою пользу.
По сути это классическая атака на управление: не взлом смарт-контракта, а перехват административных прав.
Как именно произошла компрометация ключа — через фишинг, утечку с сервера или иным способом — на момент расследования не раскрывается.
Детали расследования: движение средств
1️⃣ Злоумышленник выпустил токены USDR и EURR на сумму ~$12.8 млн+ без реального обеспечения.
2️⃣ Токены были конвертированы в ETH через DEX-маршруты (децентрализованные биржи — площадки для обмена токенов без посредника).
3️⃣ На адресе 0x09BE1A36c2d7f9909eb3D6F9184c6e46A12B0ACA на момент расследования находится ~1 564 ETH (~$3.3 млн) — средства никуда не переводились и не скрывались.
4️⃣ Всего на связанных адресах злоумышленника остаётся не менее ~$3.5 млн в ETH.
Заключение
Атака на StablR — показательный пример того, насколько важна операционная безопасность для эмитентов стейблкоинов. Технически контракты могут быть написаны безупречно, но если административные ключи хранятся небрежно, злоумышленник просто обходит весь код и действует от имени законного владельца.
То, что значительная часть средств по-прежнему лежит на одном адресе нетронутой, даёт команде StablR и правоохранителям шанс на мониторинг и возможное замораживание через биржи.
Команда «КоинКит» продолжает отслеживать движение средств по указанным адресам.
