- StablRs EURR und USDR verloren am Wochenende ihre Bindung, nachdem ein Angreifer unbesicherte Token im Wert von rund 13,5 Millionen Dollar erzeugt hatte.
- Blockaid führt den Vorfall auf eine kompromittierte Multisig-Verwaltung mit nur einer benötigten Signatur zurück.
StablR ist am Wochenende in einen schweren Vertrauens- und Sicherheitsvorfall geraten. Die Stablecoins EURR und USDR des europäischen Emittenten verloren ihre Bindung, nachdem ein Angreifer Zugriff auf administrative Minting-Rechte erhalten und Millionen neuer Token ohne Deckung geprägt hatte.
Minting-Kontrolle wurde zum Einfallstor
Der Vorfall wurde zunächst von On-Chain-Ermittler ZachXBT öffentlich gemacht. Er verwies auf zwei mit StablR verbundene Contracts, die offenbar betroffen waren, und schätzte den möglichen Schaden zunächst auf rund 10 Millionen Dollar.
Die Wallet des Angreifers soll zuvor über Circles Cross-Chain Transfer Protocol auf Noble finanziert worden sein.
Wenige Stunden später meldete ZachXBT, dass ein sechsstelliger Betrag der entwendeten Mittel eingefroren werden konnte.
Zugleich kritisierte er, dass das StablR-Team während der laufenden Attacke nicht schnell genug reagiert habe. Für einen Stablecoin-Emittenten ist genau diese Zeitspanne entscheidend.
Wenn neu geprägte Token bereits auf dezentralen Börsen verkauft werden, entsteht der Schaden fast sofort.
Nach Angaben von Blockaid lag die Ursache nicht in einem klassischen Smart-Contract-Bug. Vielmehr soll ein privater Schlüssel eines Signers kompromittiert worden sein.
Besonders problematisch war die Struktur des Multisigs: Der Minting-Contract war demnach über eine 1-von-3-Signaturschwelle abgesichert. Eine einzige kompromittierte Signatur reichte also aus.
🚨Community Alert
Blockaid's exploit detection system has identified an ongoing exploit on @StablREuro.~$2.8M extracted so far.
Both tokens are depegged: 0x50753cfaf86c094925bf976f218d043f8791e408 (StablR Euro)
and
0x7b43e3875440b44613dc3bc08e7763e6da63c8f8 (StablR USD) on…— Blockaid (@blockaid_) May 24, 2026
Der Angreifer konnte sich anschließend als Administrator hinzufügen, bestehende Eigentümer ersetzen und 8,35 Millionen USDR sowie 4,5 Millionen EURR prägen. Der Nennwert lag zusammen bei etwa 13,5 Millionen Dollar.
Der Peg brach durch dünne Liquidität unter Druck
Ein Teil der neu erzeugten Token wurde danach über dezentrale Börsen in ETH getauscht. Blockaid zufolge wurden rund 10,4 Millionen Dollar an Nennwert verkauft. Wegen geringer Liquidität und starker Slippage lagen die tatsächlichen Nettoerlöse in den ersten Stunden aber nur bei etwa 2,8 Millionen Dollar.
Gerade bei Stablecoins ist dieser Unterschied wichtig. Ein Token kann formal einen Dollar oder Euro repräsentieren. Wenn aber plötzlich unbesicherte Einheiten auf den Markt kommen und die Liquidität dünn ist, bricht die Preisbindung schnell auf. Vertrauen ist hier nicht Beiwerk, sondern die eigentliche Infrastruktur.
Der Fall zeigt, dass Stablecoin-Sicherheit nicht nur aus Reserven, Prüfberichten und Regulierung besteht. Administrative Rechte, Schlüsselverwaltung und Multisig-Design sind ebenso kritisch. Wenn Minting-Rechte zu schwach geschützt sind, kann ein Emittent auch ohne Codefehler in Schwierigkeiten geraten.
