StablR Euro (EURR) và StablR USD (USDR) đã bị mất peg trên Ethereum vào ngày 24/05/2024 sau khi hợp đồng minting của dự án bị tấn công, cho phép hacker rút khoảng 2.8 triệu USD.
Công ty bảo mật blockchain Blockaid đã phát hiện cuộc tấn công này và cho biết nguyên nhân là do lộ private key, thay vì có lỗ hổng trong smart contract của StablR.
Cách kẻ tấn công chiếm quyền kiểm soát StablR
Ví multisig dùng để mint token của StablR chỉ cần 1 trong 3 người ký được phép thực hiện giao dịch. Điều này có nghĩa là chỉ cần một private key bị lộ, hacker đã có thể kiểm soát hoàn toàn hợp đồng này.
Kẻ tấn công đã thêm địa chỉ của mình làm chủ sở hữu mới và xóa đi hai người ký hợp pháp còn lại. Sau đó, họ đã mint 8.35 triệu USDR và 4.5 triệu EURR, tổng giá trị tại peg lên tới khoảng 10.4 triệu USD.
Blockaid đã tóm tắt lại quá trình này trong một bài đăng trên X:
“Đây không phải lỗi trong smart contract – mà là thất bại trong quản lý key và điều hành.”
Thanh khoản thấp trên các sàn giao dịch phi tập trung (DEX) đã khiến số tiền hacker thu về bị hạn chế đáng kể.
Việc swap 10.4 triệu USD token vừa được mint vào các pool thanh khoản nhỏ chỉ đem lại khoảng 1,115 ETH, tương đương hơn 2.8 triệu USD.
EURR giảm khoảng 20% trên các pool thanh khoản Ethereum, còn USDR cũng mất peg khi áp lực bán quá lớn vượt khả năng thanh khoản.
Một điểm mù về quản trị thường gặp
Sự việc này giống như những vụ tấn công stablecoin trước đó, khi việc mint trái phép khiến stablecoin nhanh chóng mất peg.
Làn sóng tấn công thông qua lộ private key trong DeFi vẫn kéo dài, góp phần tạo nên con số kỷ lục về lừa đảo và thất thoát tài sản trong crypto những năm gần đây.
Một vụ hack stablecoin Resolv tương tự trước đó trong năm 2026 cũng diễn ra với kịch bản gần như giống hệt, khi một private key bị bảo mật yếu dẫn đến việc mint số lượng lớn token.
StablR sở hữu giấy phép Electronic Money Institution (EMI) do cơ quan quản lý tài chính Malta cấp và hiện đang hoạt động dưới sự quản lý của Liên minh châu Âu theo quy định Markets in Crypto-Assets (MiCA).
StablR cũng đã nhận được đầu tư chiến lược từ Tether vào cuối năm 2024. Hiện tại vẫn chưa rõ mối quan hệ về quy định và tài chính này sẽ ảnh hưởng như thế nào tới kế hoạch khắc phục.
