StablR-Sicherheitsverstoß: Verlust von 2,8 Millionen US-Dollar nach Kompromittierung des Multisig-Schlüssels

Inhaltsverzeichnis StablR, ein regulierter Stablecoin-Emittent, wurde am Sonntag Opfer einer großen Sicherheitsverletzung, bei der Hacker etwa 2,8 Millionen US-Dollar von der Plattform abzogen. Der Exploit wurde erstmals vom Blockchain-Sicherheitsunternehmen Blockaid mithilfe seines Echtzeit-Bedrohungserkennungssystems identifiziert. 🚨Das Exploit-Erkennungssystem von Community Alert Blockaid hat einen laufenden Exploit auf @StablREuro identifiziert. Bisher wurden ca. 2,8 Millionen US-Dollar gefördert. Beide Token sind depegged: 0x50753cfaf86c094925bf976f218d043f8791e408 (StablR Euro) und 0x7b43e3875440b44613dc3bc08e7763e6da63c8f8 (StablR USD) auf… – Blockaid (@blockaid_) 24. Mai 2026 Die Hauptursache scheint ein kompromittierter privater Schlüssel in der prägenden Multisignatur-Wallet von StablR zu sein. Die Konfiguration des Wallets wies einen unzureichenden 1-von-3-Schwellenwert auf, sodass nur ein einziger Schlüssel zur Autorisierung von Transaktionen erforderlich war. Der Hacker nutzte diese Schwachstelle aus, um seine eigene Adresse als autorisierten Eigentümer hinzuzufügen und gleichzeitig die legitimen Eigentümer zu entfernen. Dieser Zugriff ermöglichte es ihnen, illegal 8,35 Millionen USDR- und 4,5 Millionen EURR-Token zu prägen. Blockaid nahm bei der Beschreibung des Vorfalls kein Blatt vor den Mund. „Dies ist kein Smart-Contract-Fehler – es handelt sich um einen entscheidenden Verwaltungs- und Governance-Fehler“, erklärte das Sicherheitsunternehmen. Die nicht autorisierte Token-Erstellung löste bei beiden Stablecoin-Angeboten von StablR eine starke Aufhebung der Bindung aus. EURR, der auf Euro lautende Stablecoin der Plattform mit einer Marktkapitalisierung von 14 Millionen US-Dollar, verzeichnete einen dramatischen Rückgang um 23 % von 1,15 US-Dollar auf 0,88 US-Dollar. #PeckShieldAlert $USDR und $EURR haben ihre Bindung aufgehoben (-20 %) @StablREuro pic.twitter.com/uITOL4nHH1 – PeckShieldAlert (@PeckShieldAlert) 24. Mai 2026 Unterdessen stürzte USDR, der an den Dollar gebundene Token von StablR mit einer Marktkapitalisierung von 11 Millionen US-Dollar, um 30 % auf 0,70 US-Dollar ab. Zum Zeitpunkt der Drucklegung hatte keiner der Stablecoins seine beabsichtigte Bindung wiedererlangt. Der Angreifer liquidierte die frisch geprägten Token über dezentrale Austauschplattformen. Allerdings wirkten sich flache Liquiditätspools erheblich auf den tatsächlich gewonnenen Wert aus – die Token, die nominell etwa 10,4 Millionen US-Dollar wert waren, wurden in lediglich 1.115 ETH umgewandelt, was etwa 2,8 Millionen US-Dollar entspricht. Der Blockchain-Ermittler ZachXBT schätzte den gesamten Exploit-Betrag auf etwa 10 Millionen US-Dollar. Der Angriff blieb aktiv, als am Sonntagmorgen erste Berichte auftauchten. Zum jetzigen Zeitpunkt hat StablR keine offizielle Stellungnahme oder Aktualisierung über sein X-Konto veröffentlicht. Der Mai hat sich für die Sicherheit von Kryptowährungen als besonders problematisch erwiesen. Daten von DeFiLlama zeigen, dass im Laufe des Monats über ein Dutzend bedeutende Exploits aufgetreten sind. Zu den weiteren im Mai kompromittierten Plattformen gehören THORChain, Verus Bridge, Echo Protocol und Polymarket. Ein gemeinsamer Thread bei vielen Vorfällen sind kompromittierte private oder administrative Schlüssel und nicht Schwachstellen im Smart-Contract-Code. Bei Volo Vault, Wasabi Perps, Echo Bridge und Polymarket kam es in den letzten 60 Tagen alle zu vergleichbaren schlüsselbasierten Sicherheitsverletzungen. Am 21. Mai erlitt Map Protocol, eine Bitcoin-Cross-Chain-Bridge-Lösung, einen eigenen Exploit durch eine echte Smart-Contract-Schwachstelle. In diesem Fall gelang es dem Angreifer, eine Billiarde MAPO-Token zu prägen, was einen katastrophalen Preisverfall von 96 % auslöste. StablR ist auf die Ausgabe regulierter Stablecoins spezialisiert, wobei die Reserven auf getrennten Konten bei etablierten Finanzinstituten gehalten werden. Insbesondere Tether, der weltweit führende Stablecoin-Anbieter, hat im Dezember 2024 in StablR investiert. Zum Zeitpunkt der Veröffentlichung hat StablR noch keine offizielle Antwort auf die Sicherheitsverletzung veröffentlicht.