MiCA-konformer Euro-Stablecoin fällt auf 0,85 $, nachdem durch einen Exploit bei einer von drei Multisig-Signaturen Millionen abgezogen wurden

EURR fällt um 24 % und USDR um 37 %, da die beiden Stablecoins von StablR nach einem entscheidenden Exploit ihre Anbindung verlieren

Berichten zufolge war der Angriff nicht auf einen Fehler im Smart Contract zurückzuführen. Angreifer sollen Zugriff auf einen einzelnen privaten Schlüssel erlangt haben, der eine 1-von-3-Multisig-Wallet kontrollierte, welche die Prägefunktion von StablR verwaltete. Mit einem Schlüssel entfernte der Angreifer legitime Unterzeichner, fügte eine kontrollierte Adresse hinzu und gab Token ohne Besicherung aus.

Am Sonntag um 8:10 Uhr ET ging StablR auf X auf das Problem ein und erklärte:

„Sicherheitsupdate: Wir haben einen Exploit identifiziert, der StablR betrifft, und arbeiten aktiv daran, ihn einzudämmen und die Auswirkungen zu minimieren. Der Schutz unserer Nutzer und Ihrer Gelder hat für uns oberste Priorität. Wir werden verifizierte Details und die nächsten Schritte so bald wie möglich bekannt geben.“

Onchain-Analysten schätzten, dass der Angreifer etwa 8,35 Millionen USDR und 4,5 Millionen EURR geprägt hat, bevor er diese über DEX-Handelspaare mit geringer Liquidität verkaufte. Der entzogene Wert wurde mit rund 1.115 ETH angegeben, was etwa 2,8 Millionen US-Dollar entspricht, obwohl die gesamte Ausgabe unbesicherter Token möglicherweise 10,4 Millionen US-Dollar erreicht hat.

Der Verkaufsdruck brach beide Ankerkurse schnell. EURR fiel auf 0,85 US-Dollar, was einem Rückgang von fast 24 % entspricht. USDR fiel weiter und notierte bei 0,64 US-Dollar, was einem Rückgang von fast 36 % seit Jahresbeginn entspricht. USDR erreichte ein Tagestief von 0,40 US-Dollar. Beide Token fielen zudem gegenüber dem US-Dollar, Bitcoin und Ethereum stark ab.

StablR vermarktet EURR als an den Euro gebundene Stablecoin und USDR als an den Dollar gebundenen Token; beide sind als regulierte Instrumente im Rahmen des MiCA-Rahmenwerks (Markets in Crypto-Assets) der Europäischen Union positioniert und unterliegen der Offenlegungspflicht für Reserven. Das Unternehmen schlägt eine Brücke zwischen traditionellen Finanz- und dezentralen Finanzmärkten.

Das Sicherheitsunternehmen Blockaid machte öffentlich auf den Vorfall aufmerksam und bezeichnete die 1-von-3-Schwelle als „schwerwiegendes Versagen bei der Schlüsselverwaltung und Governance“. Viele Beobachter merkten an, dass ein einzelner kompromittierter Schlüssel nicht die Befugnis haben sollte, Währung auszugeben, doch angeblich erlaubte die Konfiguration von StablR genau das.

„Die Ausgabe von EURR wurde durch eine 1/3-Multisig-Implementierung (nicht sicher) gesteuert, deren Unterzeichner der mutmaßliche Angreifer ersetzte“, schrieb ein X-Account am Sonntag. „Anschließend transferierten sie weiterhin neue EURR und prägten diese, um sie auf Sekundärmärkten zu verkaufen, was zu einer Abkopplung vom Sekundärmarkt führte. Es ist erwähnenswert, dass StablR zuvor erklärt hatte, die Hadron-Tokenisierungsplattform von Tether zur Ausgabe von EURR zu nutzen.“

Die Person fügte hinzu:

„Wenn es sich hierbei um einen Exploit handelt, ist dies der erste seiner Art für einen MiCA-konformen Stablecoin.“

Während StablR den Exploit über seine offiziellen X-Konten bestätigte, lagen zum Zeitpunkt der Erstellung dieses Artikels keine detaillierte technische Nachbetrachtung oder ein Zeitplan für die Wiederherstellung vor. Community-Analysten auf X diskutierten den ganzen Tag über Verlustschätzungen, die zwischen 2,8 Millionen und 10,4 Millionen US-Dollar lagen. Die große Spanne spiegelt den Unterschied zwischen dem entnommenen Ethereum (ETH) und dem Gesamtnennwert der ungedeckten Token wider, die auf den Markt gebracht wurden.

Der Vorfall passt zu einem Muster, das bei Stablecoin-Emittenten zu beobachten ist, bei dem administrative Kontrollen und nicht der Vertragscode die Schwachstelle darstellen. Höhere Multisig-Schwellenwerte, Zeitbeschränkungen für die Prägefunktionen, Ratenbegrenzungen und Systeme zur Erkennung von Anomalien sind Standardmaßnahmen zur Risikominderung für Stablecoin-Netzwerke.

Der MiCA-Regulierungsrahmen, der darauf abzielt, in Europa tätige Stablecoin-Emittenten zur Rechenschaft zu ziehen, scheint keine operativen Kontrollen vorgeschrieben zu haben, die diesen Angriff verhindert hätten. Regulierungsbehörden und Prüfer könnten nach diesem Vorfall unter Druck geraten, sich direkter mit wichtigen Verwaltungsstandards auseinanderzusetzen. Inhaber von EURR und USDR sollten die offiziellen Kanäle von StablR verfolgen, um Updates zu einer geplanten Vernichtung des ungedeckten Bestands, zur Auffüllung der Reserven oder zu Entschädigungen zu erhalten. Wichtige US-Dollar-Stablecoins, darunter USDT und USDC, waren nicht betroffen. Der breitere Stablecoin-Markt hat das Ereignis ohne nennenswerte Ansteckungseffekte verkraftet, doch der StablR-Vorfall reiht sich ein in eine wachsende Liste kleinerer und regional ausgerichteter Emittenten, die die Kontrolle über die Kursbindung eher durch Governance-Versagen als durch Code-Schwachstellen verloren haben.