Am 24. Mai 2026 entdeckte die Blockchain-Sicherheitsfirma Blockaid einen aktiven Exploit, der auf das Emissionssystem von StablR abzielte. Der Vorfall wurde auf einen Kompromiss eines privaten SchlĂŒssels in einem Minting-Multisig zurĂŒckverfolgt, das mit einem gefĂ€hrlich schwachen 1-von-3-Signatur-Schwellenwert arbeitete.
đ Der Schaden in Zahlen:
Der Angreifer fĂŒgte seine eigene Adresse als EigentĂŒmer hinzu, schloss die beiden legitimen Unterzeichner aus und begann, 8,35 Millionen USDR und 4,5 Millionen EURR mit einem Gesamtgesichtswert von ungefĂ€hr 10,4 Millionen Dollar bei Peg zu prĂ€gen.
Der Angreifer tauschte diese frisch geprĂ€gten Tokens an dezentralen Börsen gegen lediglich 1.115 ETH, ungefĂ€hr 2,8 Millionen Dollar, da die dĂŒnne LiquiditĂ€t den GroĂteil des Slippage absorbierte. Das bedeutet, der Angreifer prĂ€gte theoretisch 10,4 Millionen Dollar, entnahm jedoch nur 2,8 Millionen Dollar an realen Verlusten fĂŒr das Protokoll. (BeInCrypto) EURR fiel auf ungefĂ€hr 0,88 Dollar und USDR fiel auf etwa 0,70 Dollar, fest im Depeg-Gebiet innerhalb weniger Minuten nach der unautorisierten PrĂ€gung.
đ Das Muster, das hier passt:
Kompromittierte private SchlĂŒssel sind zum entscheidenden Angriffsvektor der DeFi-Ausnutzungswelle 2026 geworden. Volo Vault, Wasabi Perps, Echo Bridge und Polymarket wurden in den letzten zwei Monaten alle von Admin-Key-Ausnutzungen getroffen.
Was StablR besonders macht, ist seine regulatorische Stellung: Das Unternehmen hĂ€lt eine Lizenz als Elektronisches Geldinstitut (EMI) von Maltas Finanzaufsicht und operiert unter dem EU-MiCA-Rahmen, was einen unangenehmen PrĂ€zedenzfall schafft, bei dem ein vollstĂ€ndig regulierter Stablecoin-Emittent aufgrund eines operativen Sicherheitsversagens entkoppelt wird, nicht wegen einer regulatorischen LĂŒcke.
đĄ AnfĂ€nger-Ecke: Warum macht ein 1-von-3-Multisig einen Stablecoin katastrophal anfĂ€llig?
Eine 1-von-3-Multisig-Schwelle bedeutet, dass ein einzelner kompromittierter privater SchlĂŒssel die vollstĂ€ndige, einseitige Kontrolle ĂŒber das Minting gewĂ€hrt, ohne dass ein Konsens von den anderen beiden autorisierten Unterzeichnern erforderlich ist, um unbegrenzt Tokens ohne Sicherheiten auszugeben.
Blockaid war eindeutig:
Das ist kein Bug im Smart Contract, es ist ein SchlĂŒsselmanagement- und Governance-Fehler." Diese Unterscheidung ist wichtig, denn Code-Bugs können in Stunden gepatcht werden, wĂ€hrend die Governance-Kultur und die Praktiken des SchlĂŒsselmanagements viel lĂ€nger benötigen, um in einer Organisation wirklich reformiert zu werden.
đŹ Wenn ein MiCA-lizenzierter Stablecoin aufgrund eines 1-von-3-Multisig-Fehlers entkoppeln kann, sollten EU-Regulierungsbehörden dann Mindest-Multisig-Schwellenwerte, Hardware-Sicherheitsmodule und obligatorische SchlĂŒsselrotationen als technische Lizenzanforderungen vorschreiben, oder sollte die operationale Sicherheit besser im Ermessen des Emittenten liegen?
#StablRDepegsAfterAttack #StablecoinSecurity #Ethereum #MiCA #CryptoSecurity
DYOR | Bildungsinhalte nur | Keine Finanzberatung