Các stablecoin Euro (EURR) và USD (USD) của StablR đã mất tỷ giá cố định trên Ethereum vào ngày 24 tháng 5 sau khi một lỗ hổng trong hợp đồng tạo tiền của dự án cho phép kẻ tấn công rút ra khoảng 2,8 triệu đô la.
Công ty bảo mật blockchain Blockaid đã cảnh báo về cuộc tấn công đang diễn ra và cho rằng nguyên nhân là do khóa riêng tư bị xâm phạm chứ không phải do bất kỳ lỗi nào trong hợp đồng thông minh của StablR.
Cách kẻ tấn công chiếm quyền kiểm soát StablR
Hệ thống đa chữ ký (multisig) quản lý Phát hành Token của StablR chỉ yêu cầu một trong ba chữ ký được ủy quyền để hoạt động. Threshold 1/3 đó có nghĩa là chỉ cần một khóa bị xâm phạm là đủ để chiếm quyền kiểm soát hoàn toàn hợp đồng.
Kẻ tấn công đã thêm địa chỉ của mình làm chủ sở hữu và xóa hai người ký hợp lệ. Sau đó, chúng đã tạo ra 8,35 triệu USDR và 4,5 triệu EURR, tổng mệnh giá khoảng 10,4 triệu đô la Mỹ theo Neo.
Blockaid đã trình bày chi tiết trình tự các bước trong một bài đăng tiếp theo trên X :
“Đây không phải là lỗi của hợp đồng thông minh – mà là lỗi quản lý và quản trị quan trọng.”
Tính thanh khoản thấp trên các sàn giao dịch phi tập trung ( Sàn phi tập trung (DEX) ) đã hạn chế đáng kể lợi nhuận của kẻ tấn công.
Việc đổi 10,4 triệu đô la token mới phát hành vào các pool có lượng token ít chỉ thu về khoảng 1.115 ETH, trị giá khoảng 2,8 triệu đô la.
EURR giảm khoảng 20% do thanh khoản Ethereum được theo dõi và USDR cũng mất Neo với đô la khi áp lực bán vượt quá khả năng thanh khoản của các pool hiện có.
Một điểm mù quản trị thường xuyên tái diễn
Sự việc này phản ánh các vụ tấn công stablecoin trong quá khứ, nơi việc tạo ra stablecoin trái phép đã gây ra hiện tượng mất giá nhanh chóng.
Nói một cách tổng quát hơn, điều này xuất phát từ làn sóng tấn công liên tục vào các lỗ hổng bảo mật DeFi , góp phần dẫn đến con số kỷ lục về trộm cắp tiền điện tử trong những năm gần đây.
Một vụ xâm phạm tương tự nhằm vào stablecoin Resolv hồi đầu năm 2026 đã sử dụng cơ chế gần như giống hệt, trong đó một khóa duy nhất được bảo vệ không đủ đã cho phép tạo ra stablecoin trên quy mô lớn.
StablR sở hữu giấy phép Tổ chức Tiền điện tử (EMI) từ cơ quan quản lý tài chính của Malta. Công ty hoạt động theo Quy định về Thị trường Tài sản Tiền điện tử ( MiCA ) của EU.
Công ty này đã nhận được khoản đầu tư chiến lược từ Tether vào cuối năm 2024. Việc các mối liên hệ về mặt pháp lý và tài chính đó sẽ ảnh hưởng như thế nào đến bất kỳ kế hoạch phục hồi nào vẫn chưa được tiết lộ.
