Pada 24 Mei 2026, perusahaan keamanan blockchain Blockaid mendeteksi eksploitasi aktif yang menargetkan sistem penerbitan StablR, melacak pelanggaran tersebut ke kompromi kunci privat pada multisig pencetakan yang beroperasi dengan ambang tanda tangan 1-dari-3 yang sangat lemah.
📊 Kerusakan dalam angka:
Penyerang menambahkan alamat mereka sendiri sebagai pemilik, mengeluarkan dua penandatangan yang sah, dan melanjutkan untuk mencetak 8,35 juta USDR dan 4,5 juta EURR dengan nilai nominal gabungan sekitar $10,4 juta pada peg.
Penyerang menukar token yang baru dicetak tersebut di bursa terdesentralisasi untuk hanya 1,115 ETH sekitar $2,8 juta karena likuiditas yang tipis menyerap sebagian besar slippage, yang berarti penyerang mencetak nilai teoritis $10,4 juta tetapi hanya mengambil $2,8 juta dalam kerugian nyata untuk protokol. (BeInCrypto) EURR anjlok menjadi sekitar $0,88 dan USDR jatuh menjadi sekitar $0,70, jelas masuk ke wilayah depeg dalam beberapa menit setelah pencetakan yang tidak sah.
📌 Pola ini cocok:
Kunci privat yang terkompromi telah menjadi vektor serangan yang mendefinisikan gelombang eksploitasi DeFi 2026. Volo Vault, Wasabi Perps, Echo Bridge, dan Polymarket semuanya terkena eksploitasi kunci admin dalam dua bulan terakhir.
Apa yang membuat StablR berbeda adalah status regulasinya: perusahaan ini memiliki lisensi Lembaga Uang Elektronik (EMI) dari regulator keuangan Malta dan beroperasi di bawah kerangka MiCA Uni Eropa, menciptakan preseden yang tidak nyaman di mana penerbit stablecoin yang sepenuhnya teratur bisa terdepeg karena kegagalan keamanan operasional, bukan karena celah regulasi.
💡 Sudut Pemula Mengapa 1-dari-3 Multisig Membuat Stablecoin Sangat Rentan?
Ambang multisig 1-dari-3 berarti satu kunci privat yang terkompromi memberikan kontrol total, sepihak atas pencetakan token tanpa memerlukan konsensus dari dua penandatangan yang berwenang lainnya untuk menerbitkan token tak terbatas dengan nol jaminan.
Blockaid sangat jelas:
Ini bukan bug smart contract, ini adalah kegagalan manajemen kunci dan tata kelola." Perbedaan itu penting karena bug kode bisa diperbaiki dalam beberapa jam, sementara budaya tata kelola dan praktik manajemen kunci memerlukan waktu yang jauh lebih lama untuk direformasi secara nyata di seluruh organisasi.
💬 Jika stablecoin berlisensi MiCA bisa terdepeg karena kegagalan multisig 1-dari-3, apakah regulator UE harus memaksa ambang batas multisig minimum, modul keamanan perangkat keras, dan jadwal rotasi kunci yang wajib sebagai persyaratan lisensi teknis, atau keamanan operasional sebaiknya diserahkan kepada kebijaksanaan penerbit?
#StablRDepegsAfterAttack #StablecoinSecurity #Ethereum #MiCA #CryptoSecurity
DYOR | Konten edukasi saja | Bukan nasihat keuangan