Il 24 maggio 2026, la società di sicurezza blockchain Blockaid ha rilevato un exploit attivo che mirava al sistema di emissione di StablR, rintracciando la violazione a un compromesso della chiave privata su un multisig di minting che operava con una soglia di firma estremamente debole di 1 su 3.
📊 I danni in numeri:
L'attaccante ha aggiunto il proprio indirizzo come proprietario, espellendo i due firmatari legittimi, e ha proceduto a mintare 8,35 milioni di USDR e 4,5 milioni di EURR, per un valore nominale combinato di circa 10,4 milioni di dollari al peg.
L'attaccante ha scambiato quei token appena mintati su exchange decentralizzati per solo 1.115 ETH, circa 2,8 milioni di dollari, poiché la liquidità sottile ha assorbito gran parte dello slippage, il che significa che l'attaccante ha mintato un valore teorico di 10,4 milioni di dollari ma ha estratto solo 2,8 milioni di dollari in perdite reali per il protocollo. (BeInCrypto) EURR è crollato a circa 0,88$ e USDR è sceso a circa 0,70$, entrando decisamente in territorio di depeg nel giro di pochi minuti dopo il minting non autorizzato.
📌 Il pattern che si adatta a questo:
Le chiavi private compromesse sono diventate il vettore di attacco dominante della wave di exploit DeFi del 2026. Volo Vault, Wasabi Perps, Echo Bridge e Polymarket sono stati tutti colpiti da exploit delle chiavi admin negli ultimi due mesi.
Ciò che rende StablR distintivo è la sua posizione normativa: l'azienda detiene una licenza di Istituto di Moneta Elettronica (EMI) dall'autorità finanziaria di Malta e opera sotto il framework MiCA dell'UE, creando un precedente scomodo dove un emittente di stablecoin completamente regolamentato perde il peg a causa di un fallimento della sicurezza operativa, non di un vuoto normativo.
💡 Angolo del Principiante Perché un Multisig 1-su-3 Rende una Stablecoin Catastroficamente Vulnerabile?
Una soglia multisig 1-su-3 significa che una singola chiave privata compromessa concede il controllo completo e unilaterale sulla creazione di token, senza richiedere consenso dagli altri due firmatari autorizzati per emettere token illimitati senza alcun collaterale.
Blockaid è stata esplicita:
Non si tratta di un bug del contratto intelligente, ma di un fallimento nella gestione delle chiavi e nella governance." Questa distinzione è importante perché i bug nel codice possono essere corretti in poche ore, mentre la cultura della governance e le pratiche di gestione delle chiavi richiedono molto più tempo per essere riformate genuinamente in un'organizzazione.
💬 Se una stablecoin con licenza MiCA può perdere il peg a causa di un fallimento del multisig 1-su-3, dovrebbero i regolatori dell'UE imporre soglie minime per il multisig, moduli di sicurezza hardware e programmi obbligatori di rotazione delle chiavi come requisiti tecnici di licenza, o la sicurezza operativa dovrebbe rimanere a discrezione dell'emittente?
#StablRDepegsAfterAttack #StablecoinSecurity #Ethereum #MiCA #CryptoSecurity
DYOR | Contenuto educativo solo | Non è consulenza finanziaria