StablR의 유로(EURR) 및 StablR 달러(USDR) 스테이블코인은 5월 24일 프로젝트의 코인 발행 계약에 대한 취약점 공격으로 인해 약 280만 달러 상당의 코인을 탈취당한 후 이더리움과의 연동이 끊어졌습니다.
블록체인 보안 회사인 블록에이드는 진행 중인 공격을 감지하고, 이번 침해가 스태블르(StablR) 스마트 계약의 결함이 아닌 개인 키 유출 때문이라고 분석했습니다.
공격자가 StablR을 장악한 방법
StablR 토큰 발행을 관리하는 멀티시그 스레스홀드(Threshold) 은 승인된 서명 3개 중 하나만 있어도 작동할 수 있었습니다. 즉, 3개 중 1개만 있어도 계약에 대한 완전한 제어권을 확보할 수 있다는 의미였습니다.
공격자는 자신의 주소를 소유자로 추가하고 두 명의 정당한 서명자를 제거했습니다. 그런 다음 835만 달러화 루피화와 450만 유로화 루피화를 발행했는데, 이는 고정환율 기준으로 약 1,040만 달러에 해당하는 페깅 입니다.
Blockaid는 X 에 대한 후속 게시물에서 그 순서를 설명했습니다.
“이것은 스마트 계약의 버그가 아니라 핵심적인 관리 및 거버넌스 실패입니다.”
탈중앙화 거래소( 탈중앙화 거래소(DEX) )의 유동성 부족으로 공격자의 수익이 크게 제한되었습니다.
1,040만 달러 상당의 신규 토큰을 소규모 풀에 투자하여 얻은 수익은 약 1,115 이더리움(ETH) 에 불과했으며, 이는 대략 280만 달러에 해당합니다.
EURR은 추적 대상 이더리움 유동성에서 약 20% 하락했고, USDR 또한 매도 압력으로 인해 가용 풀이 부족해지면서 달러 페깅 를 잃었습니다.
반복적으로 발생하는 거버넌스 사각지대
이번 사건은 과거 무단 발행으로 인해 급격한 디페그 현상이 발생했던 스테이블코인 공격 사례와 유사합니다.
더 넓게 보자면, 이는 최근 몇 년간 기록적인 암호화폐 도난 수치를 초래한 지속적인 개인 키 탈중앙화 금융(DeFi) 공격의 결과입니다.
2026년 초에 발생한 유사한 Resolv 스테이블코인 해킹 사건 에서도 거의 동일한 메커니즘이 사용되었는데, 보안이 불충분한 단일 키를 이용해 대규모 코인 발행이 가능했습니다.
StablR은 몰타 금융감독당국으로부터 전자화폐기관(EMI) 라이선스를 보유하고 있습니다. 이 회사는 EU의 암호화폐 시장 규정( MiCA )에 따라 운영됩니다.
이 회사는 2024년 말 테더(Tether) 로부터 전략적 투자를 받았습니다. 이러한 규제 및 재정적 관계가 향후 경기 회복 대응에 어떻게 영향을 미칠지는 아직 공개되지 않았습니다.
