欧洲稳定币发行商 StablR 于 5 月 24 日晚间至 25 日凌晨遭到多重签名攻击,攻击者通过窃取铸币合约的 1/3 多重签名私钥,在约 3 小时内铸造了 835 万枚 USDR 和 450 万枚 EURR并在去中心化交易所抛售,导致 EURR 跌至约 0.85 美元,USDR 跌至约 0.64 美元。
攻击的技术机制:1/3 门槛多重签名如何被击穿
Blockaid 确认,此次攻击的技术根源为 StablR 铸币多重签名机制中一名签署者的私钥泄露。StablR 的铸币功能采用 1/3 多重签名机制(三分之一签名门槛),即仅需三名授权签署者中的一名批准即可执行铸币。攻击者通过泄露的私钥:自行添加为管理员;替换了原有的合法所有者;在 3 小时内完成了 835 万枚 USDR 和 450 万枚 EURR 的未授权铸造。
攻击者还额外利用取得的管理控制权,将至少一个合法交易对手方持有的代币列入黑名单并销毁——链上记录确认至少有一次销毁了约 270 万枚 EURR(约 240 万美元),这些代币来自一个已与 StablR 进行数月常规赎回操作的钱包。攻击者钱包通过 Noble 上的 Circle 跨链转账协议(CCTP)完成初始资金充值。
实际损失与市场影响的已确认数据
Blockaid 分析确认,约 1,040 万美元面值的代币通过去中心化交易所兑换成 ETH,但由于流动性不足导致的大幅滑点,攻击的实际净收益估计约为 280 万美元。截至周日上午,被 Etherscan 标记为「StablR Exploiter 2」的攻击者集中钱包持有 1,488 枚 ETH(约 315 万美元)。ZachXBT 已协助冻结六位数的被盗资金。
价格方面,根据 CoinGecko 数据:EURR 交易价格跌至约 0.85 美元(欧元兑美元锚定点约 1.15 美元,跌幅约 26%);USDR 跌至约 0.64 美元(跌幅约 36%)。以太坊上欧元稳定币的总供应量目前约占以太坊法币支撑稳定币总供应量的 0.24%。
常见问题
1/3 多重签名门槛在行业中的安全性如何评估,为什么被认定为设计缺陷?
多重签名(Multisig)的安全设计原则是提高攻击者需要攻破的密钥数量,门槛越低越容易被攻破。1/3(三分之一)门槛意味着攻击者只需控制三名授权签署者中的一名即可完整执行高特权操作如铸币。行业对比:2022 年 Harmony Horizon 桥在被盗刷 1 亿美元前采用的是 2/5 门槛,当时安全分析师就已指出这是不足的安全设计;Gnosis Safe 等主流多签方案通常推荐 3/5 或更高门槛用于协议级高特权操作。Blockaid 明确指出,1/3 门槛属于 StablR 的治理和密钥管理决策问题,而非智能合约代码本身的漏洞。
StablR 的 MiCA 合规背景与 Tether/Kraken 的投资对本次攻击事件有何影响?
MiCA(加密资产市场监管法规)主要规制稳定币的储备要求、发行资格和风险披露,对智能合约安全架构的具体技术要求并无直接强制规定。StablR 持有 MFSA 电子货币機構牌照和 MiCA 合规资质,但这些监管认可不覆盖合约部署的安全设计选择。Tether 和 Kraken 作为策略投资者也未在本次事件中受到直接财务损失,但事件对两者在欧洲合规稳定币市场的投资声誉造成影响。
此次攻击如何反映 2026 年加密安全威胁的整体模式转变?
Blockaid 的分析和 2026 年的多个主要攻击案例均指向同一趋势:当年损失最惨重的事件不再源自新型智能合约代码漏洞,而是特权访问、治理架构和密钥管理的设计失误。4 月 1 日的 Drift Protocol 事件(损失逾 2.8 亿美元)同样通过 Circle CCTP 完成资金转移,且涉及特权访问攻击模式;DeFiLlama 数据确认,2026 年 4 月是加密史上单月黑客攻击事件数量最多的月份。StablR 的 1/3 多重签名和 Harmony 的 2/5 多重签名设计,均提示协议在扩展规模时往往优先考虑操作便利性而非密钥安全冗余。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
