StablRのユーロ建てステーブルコイン「ユーロ(EURR)」および「StablR USD(USDR)」は24日、イーサリアム上でペッグを失った。原因は、プロジェクトのミント契約に対する不正利用により、攻撃者が約280万ドルを引き出したため。
ブロックチェーンセキュリティ企業Blockaidは、この攻撃を検知し、StablRのスマートコントラクトの欠陥ではなく、プライベートキーの流出が原因とみている。
攻撃者がStablRを乗っ取った経緯
StablRのトークン発行を管理するミンティングマルチシグは、3人の承認者のうち1人の署名だけで取引を実行できる設計だった。この「1-of-3」方式により、単一の鍵が侵害されればコントラクトの全権限を奪うことが可能となった。
攻撃者は自分のアドレスを所有者に加え、正規の2人の署名者を削除した。続いて、USDRを835万枚、EURRを450万枚、額面合計で約1,040万ドル分をミントした。
Blockaidは、X上の投稿でこの手口の詳細を説明した。
「これはスマートコントラクトのバグではなく、鍵管理およびガバナンスの失敗である」
分散型取引所(DEX)上の流動性が乏しかったことが、攻撃者の換金額を大きく制限した。
発行直後のトークン1,040万ドル分を浅い流動性プールで売却した結果、得られたのは約1,115イーサリアム(ETH)で、金額はおよそ280万ドルだった。
EURRはイーサリアム上で追跡された流動性で約20%下落し、USDRも過度な売り圧力によりドルペッグを失った。
繰り返されるガバナンスの盲点
今回の事例は、不正なミンティングを発端に急激なペッグ外れが起きた過去のステーブルコイン攻撃と類似する。
より広い視点では、プライベートキー流出を起因としたDeFiハッキングが続き、この数年で暗号資産詐取被害が過去最高を記録する一因となっている。
2026年初頭にも、非常によく似たResolvステーブルコインの事案が発生している。保護の不十分な鍵ひとつで大量発行が可能となった経緯も酷似している。
StablRはマルタ金融当局から電子マネー機関(EMI)ライセンスを取得済み。運営はEUの暗号資産市場規制(MiCA)に準拠する。
2024年後半にはテザーから戦略的出資も受けている。これらの規制面・資本面の関係が今後の被害対応にどう影響するかは未公表。
