IRCNF
Cryptocurrency

StablR verliert 2,8 Millionen Dollar nach Angriff: Ein einziger Multisig-Key ermöglichte die Prägung von 13,5 Millionen Dollar ungedeckter Stablecoins

Teilen:
StablR verliert 2,8 Millionen Dollar nach Angriff: Ein einziger Multisig-Key ermöglichte die Prägung von 13,5 Millionen Dollar ungedeckter Stablecoins

Der europäische Stablecoin-Emittent StablR hat am Wochenende einen Sicherheitsvorfall bekannt gegeben, bei dem etwa 13,5 Millionen Dollar an ungedeckten Token unbefugt geprägt wurden und sowohl der Euro- als auch der US-Dollar-Stablecoin stark entkoppelten. Das Unternehmen hat die Prägungs- und Rücknahmeaktivitäten eingefroren und arbeitet während der laufenden Untersuchung mit Strafverfolgungsbehörden und externen Cybersicherheitsfirmen zusammen.

Der Angriff wurde am Sonntag öffentlich vom Onchain-Ermittler ZachXBT gemeldet, der verdächtige Aktivitäten in Verträgen von StablRs USDR- und EURR-Token auf Ethereum entdeckte. Die Blockchain-Sicherheitsfirmen Blockaid und GoPlus Security analysierten anschließend den Angriffsvektor.

Wie der Angriff funktionierte

Die Schwachstelle ließ sich auf eine kritisch schwache Konfiguration in StablRs Ethereum-Präge-Wallet zurückführen: ein 1-von-3-Multisignatur-Setup, bei dem jeder einzelne der drei autorisierten Schlüsselinhaber einseitig eine Präge-Transaktion genehmigen konnte. Multisignatur-Wallets sind dafür ausgelegt, eine Schwellenanzahl von Genehmigungen zu erfordern, bevor sensible Operationen ausgeführt werden – die Standardempfehlung für Stablecoin-Prägeverträge ist mindestens 2-von-3 oder höher.

Mit einer 1-von-3-Schwelle reichte es aus, einen einzigen privaten Schlüssel zu kompromittieren. Die Blockchain-Sicherheitsfirma GoPlus Security erklärte, der Angreifer habe einen Schlüssel kompromittiert, sich dann selbst als Administrator hinzugefügt, die drei legitimen Unterzeichner entfernt und Token frei geprägt. Der Angreifer prägte etwa 8,35 Millionen USDR und 4,5 Millionen EURR – rund 13,5 Millionen Dollar zum beabsichtigten Peg-Wert der Token.

Um auszuzahlen, verkaufte der Angreifer die frisch geprägte Menge über dezentrale Börsen. Die geringe Liquidität auf DeFi-Märkten – USDR hatte eine Marktkapitalisierung von 20 Millionen Dollar und EURR etwa 14 Millionen – führte dazu, dass die massive Verkaufsorder die Preise stark fallen ließ. Der Angreifer erbeutete etwa 1.115 ETH, also rund 2,8 Millionen Dollar, einen Bruchteil des Nennwerts der geprägten Token.

Marktauswirkungen

Beide Stablecoins verloren ihre Pegs erheblich. EURR, nominell an den Euro zu etwa 1,15 Dollar gebunden, fiel um 23% auf rund 0,88 Dollar zum schlechtesten Zeitpunkt am Wochenende. USDR, an den US-Dollar gebunden, fiel auf 0,70 Dollar. Zum Zeitpunkt der Berichterstattung von CoinDesk am Dienstag hatte sich USDR teilweise auf 0,994 Dollar erholt, während EURR mit 0,548 Dollar weiterhin stark entkoppelt blieb – weniger als die Hälfte des Euro-Dollar-Werts von 1,16 Dollar.

StablR räumte ein, dass die umlaufende Menge beider Token derzeit nicht vollständig zu 1:1 gedeckt ist, wie es die EU-Vorschriften verlangen. Das Unternehmen bat Börsen, den Handel, Ein- und Auszahlungen für beide Token auszusetzen, während die Untersuchung läuft.

Regulatorische Implikationen unter MiCA

StablRs Stablecoins operieren unter der EU-Verordnung über Märkte für Kryptowerte (MiCA) – dem umfassenden Krypto-Regulierungsrahmen, der Ende 2024 EU-weit in Kraft trat. MiCA verlangt von Stablecoin-Emittenten, eine vollständige 1:1-Reserve zu halten, strenge betriebliche Sicherheitsstandards einzuhalten und Vorfälle unverzüglich den Aufsichtsbehörden zu melden.

StablR erklärte, es werde die maltesische Finanzdienstleistungsbehörde (MFSA) sowohl unter den MiCA-Anforderungen für Stablecoin-Emittenten als auch unter der EU-Verordnung über die digitale Betriebsfestigkeit (DORA) informieren, die eine Meldepflicht für Finanzinstitute bei Vorfällen vorsieht. Das Unternehmen hat seinen Sitz in Malta, was die MFSA zu seiner primären EU-Aufsichtsbehörde macht.

Der Vorfall ist bemerkenswert als einer der ersten größeren Sicherheitsausfälle eines MiCA-regulierten Stablecoin-Emittenten. Wie die Regulierungsbehörden reagieren – ob mit einer Sanierungsanordnung, einer Geldstrafe oder einem Lizenzentzug – wird von der breiten EU-Kryptoindustrie genau beobachtet werden als Signal dafür, wie MiCA-Durchsetzung mit betrieblichem Versagen versus vorsätzlichem Fehlverhalten umgeht.

Private-Key-Exploits häufen sich weiter

Der Angriff reiht sich in eine wachsende Liste von DeFi-Vorfällen in diesem Monat ein, bei denen kompromittierte private Schlüssel eine Rolle spielten. CoinTelegraph merkt an, dass StablRs Exploit einer von über einem Dutzend bedeutender Krypto-Angriffe allein im Mai 2026 ist, zu denen THORChain, Verus Bridge, Echo Protocol und Polymarket auf der Liste der jüngsten Opfer gehören.

Das Muster ist konsistent: Protokolle, die kritische Operationen – Prägung, Upgrades, Auszahlungen von Geldern – hinter schwachen Multisig-Konfigurationen oder schlecht gesicherten privaten Schlüsseln konzentrieren, bleiben hochwertige Ziele. Die Existenz von MiCA-Compliance-Anforderungen verhinderte diesen Angriff nicht; die Schwachstelle war architektonisch, nicht verfahrenstechnisch. Ob MiCAs künftige technische Standards für Stablecoin-Emittenten stärkere Multisig-Schwellen erfordern werden, ist eine Frage, die Regulierungsbehörden und die Industrie beantworten müssen.

Tether investierte im Dezember 2024 in StablR und wurde damit finanzieller Unterstützer eines der wenigen MiCA-lizenzierten Euro-Stablecoin-Emittenten in Europa. Weder Tether noch der breitere Stablecoin-Markt sahen eine signifikante Ansteckung durch den Vorfall.

ethereumdefistablecoinhackMiCAStablRmultisig
Teilen: