Le stablecoin Euro (EURR) e StablR USD (USDR) di StablR hanno perso il loro peg su Ethereum il 24 maggio, dopo che un exploit sul contratto di minting del progetto ha permesso a un attaccante di estrarre circa 2,8 milioni di dollari.
La società di sicurezza blockchain Blockaid ha segnalato l’attacco in corso, attribuendo la violazione alla compromissione di una chiave privata invece che a una vulnerabilità negli smart contract di StablR.
Come l’attaccante ha preso il controllo di StablR
Il multisig di minting che regola l’emissione dei token di StablR richiedeva solo una delle tre firme autorizzate per agire. Questa soglia 1-su-3 significava che una sola chiave compromessa era sufficiente per acquisire il controllo totale del contratto.
L’attaccante ha aggiunto il proprio indirizzo come owner e ha rimosso i due firmatari legittimi. Successivamente ha mintato 8,35 milioni di USDR e 4,5 milioni di EURR, per un valore complessivo nominale vicino a 10,4 milioni di dollari al peg.
Blockaid ha spiegato in dettaglio la sequenza in un post successivo su X:
“Non si tratta di un bug nello smart contract, ma di un fallimento nella gestione delle chiavi e nella governance.”
La scarsa liquidità sui DEX (DEX) ha limitato drasticamente il ritorno per l’attaccante.
Lo swap di 10,4 milioni di dollari in token appena mintati su pool poco profonde ha fruttato solo circa 1.115 ETH, pari a circa 2,8 milioni di dollari.
EURR è scesa di circa 20% sulla liquidità monitorata su Ethereum e anche USDR ha perso il peg con il dollaro, poiché la pressione di vendita ha travolto le pool disponibili.
Un punto cieco ricorrente nella governance
L’episodio è simile ad altri attacchi a stablecoin in cui una minting non autorizzata ha causato depeg rapidi.
Più in generale, segue un’ondata persistente di exploit DeFi tramite chiavi private, che hanno contribuito a numeri record di furti crypto negli ultimi anni.
Una violazione simile della stablecoin Resolv all’inizio del 2026 ha utilizzato meccanismi quasi identici, in cui una singola chiave non sufficientemente protetta ha permesso la minting su larga scala.
StablR possiede una licenza di Electronic Money Institution (EMI) concessa dall’autorità di regolamentazione finanziaria di Malta. L’azienda opera secondo il regolamento europeo Markets in Crypto-Assets (MiCA).
Ha inoltre ricevuto un investimento strategico da Tether alla fine del 2024. Non è ancora stato reso noto come questi legami regolamentari e finanziari influiscano su eventuali risposte di recupero.
