StablR遭攻击 — $EURR/$USDR 脱锚复盘
结论先说:这次更像是铸币权限/密钥治理事故,不是普通价格波动。已检索到的安全报道显示,攻击者疑似通过 StablR 铸币多签的单个被盗私钥取得控制权,额外铸造 8.35M $USDR + 4.5M $EURR,并在 DEX 上换出约 1,115 $ETH,约 $2.8M;因此 $EURR 与 $USDR 双双脱锚,$EURR 最新行情序列仍在 $0.815 附近,距离欧元锚定显著偏离。
事件概览
核心判断。 这不是“市场短暂砸盘”级别的问题,而是稳定币发行端的铸币权限被接管。Blockaid 披露的说法是:StablR 铸币多签采用 1-of-3 阈值,单个 owner 私钥被攻破后,攻击者即可更换其他 owner 并控制铸币权限。 crypto.news
事件关键数据。来源为安全公司披露与媒体报道;行情快照为当前可检索价格序列。
| 项目 | 已检索数据 | 来源时间 | 解读 |
|---|---|---|---|
| 疑似原因 | 铸币多签 owner 私钥泄露 | 2026-05-24 08:18 UTC | 权限治理失败 |
| 多签阈值 | 1-of-3 | 2026-05-24 08:18 UTC | 单点失效风险高 |
| 新铸 $USDR | 8.35M | 2026-05-24 08:18 UTC | 非正常供应冲击 |
| 新铸 $EURR | 4.5M | 2026-05-24 08:18 UTC | 非正常供应冲击 |
| 提取收益 | 1,115 $ETH / ~$2.8M | 2026-05-24 08:18 UTC | 受限于 DEX 流动性 |
为什么面值和实际收益差很多。 报道称攻击者合计铸造约 $10.4M 面值代币,但由于 DEX 流动性较薄,最终只换出约 $2.8M;这说明攻击并非“把所有面值无损兑现”,但已经足以破坏二级市场对赎回与储备完整性的信心。 crypto.news
攻击路径
已披露路径。 攻击者疑似先拿到 StablR 铸币多签中一个 owner 的私钥,然后把自己加入 owner、替换另外两个合法 owner,最后铸造 8.35M $USDR 和 4.5M $EURR。Blockaid 对该事件的定性是“不是智能合约漏洞,而是密钥管理和治理失败”。 crypto.news
风险点在阈值设计。 1-of-3 多签在操作便利性上很强,但对铸币权限这种系统性权限来说,安全边际很低:只要一个 owner 私钥失陷,攻击者就可以取得完整控制权。这个结构对稳定币尤其危险,因为稳定币的信用来自“发行量可控 + 储备可兑付”;一旦非授权铸币发生,市场会立刻折价定价。
链上资金流。 ZachXBT 相关披露称 StablR 相关 $EURR/$USDR 合约疑似遭攻击,潜在损失超过 $3M,并提到资金经 Noble CCTP 相关路径流转、涉及 7 个地址。该部分是第三方链上侦探披露,和 Blockaid 披露的 ~$2.8M 已提取口径略有差异,应按“仍在更新的事故估算”理解。 ChainCatcher
脱锚幅度
报道口径。 事故发生后,媒体引用市场数据称 $EURR 从约 $1.15 欧元锚定价值附近跌至约 $0.88,跌幅约 23%;$USDR 从 $1.00 附近跌至约 $0.70,跌幅约 30%。 TradingView / Cointelegraph
当前可检索行情。 $EURR 当前价格序列最新点为 $0.815(快照 2026-05-25 04:10 UTC),24h 区间约 $0.815–$0.932,说明 $EURR 尚未恢复锚定。另一个项目资料快照显示 $EURR 24h 交易量约 $2.67M、市值约 $14.0M,流动性和市值都不大,短期价格容易被赎回预期、冻结/迁移公告和恐慌卖盘主导。
| 资产 | 锚定目标 | 已检索价格/跌幅 | 数据性质 |
|---|---|---|---|
| $EURR | 欧元锚定,报道折算约 $1.15 | 报道低至约 $0.88 / -23% | 已检索:媒体报道 |
| $EURR | 欧元锚定 | 最新序列 $0.815 | 已检索:行情序列 |
| $USDR | $1.00 | 报道低至约 $0.70 / -30% | 已检索:媒体报道 |
| $USDR | $1.00 | 当前独立价格暂不采用 | 数据缺口:存在同 ticker 识别冲突风险 |
数据缺口提示。 我没有把“$USDR 最新行情序列”作为 StablR $USDR 的现价引用,因为同名 ticker 可能与其他 $USDR 资产混淆;目前更可靠的是事故报道中的 $USDR 脱锚区间。$EURR 由于项目资料与 StablR 识别一致,当前序列可作为参考。
风险观察
持有人风险。 对 $EURR/$USDR 持有人来说,关键不只是二级市场价格,而是 StablR 是否能明确:攻击铸造的代币是否可冻结、是否能区分合法铸造与攻击铸造、是否会合约迁移、是否维持 1:1 赎回。若官方无法快速给出可执行方案,折价可能持续。
协议集成风险。 如果 $EURR 或 $USDR 被 DeFi 池子、支付通道或借贷协议接入,风险会外溢到 LP、路由器和接受该稳定币付款的商户。由于这次攻击本质上涉及发行权限,任何依赖“供应量可信”的集成都需要重新评估白名单、价格预言机和赎回假设。
储备与赎回是分水岭。 已检索报道显示 StablR 自称发行受监管、抵押化稳定币,并强调储备隔离、Proof-of-Reserves、Ethereum 与 Solana 可用性;但当前市场定价说明交易者更关注“被攻击铸造的供应是否会影响可兑付性”。 TradingView / Cointelegraph
推断项。 若 StablR 能迅速撤销被攻陷权限、冻结攻击地址相关代币、公布受影响供应清单并承诺合法持有人赎回,$EURR/$USDR 有修复锚定的可能;若无法区分攻击铸造与正常流通,市场会继续按“赎回不确定性”折价。这是基于稳定币事故处理路径的推断,不是官方已确认结果。
结论
StablR 这次事故的核心是铸币权限安全失败:攻击者并非只偷走流动性,而是疑似短暂接管了发行端权限并铸造未授权 $EURR/$USDR。已检索数据显示,攻击面值约 $10.4M、实际换出约 $2.8M,$EURR/$USDR 分别出现 20%+ / 30% 级别脱锚;当前最重要的不是看短线反弹,而是等官方确认权限修复、攻击供应处置和赎回方案。
Bottom line. 对持有人:在 StablR 发布明确补救与赎回方案前,$EURR/$USDR 应按“高事件风险稳定币”处理;对 DeFi 集成方:应优先暂停新增敞口、审查预言机与池子风险,并等待官方/安全团队的链上处置确认。