#TradeCFDWinGold StablR 穩定幣協議遭遇重大漏洞；EURR 和 USDR 兌美元脫鉤20%

2026年5月24日 — 穩定幣協議 StablR 在週末遭遇毀滅性治理漏洞，導致其代幣合約被惡意接管以及大規模未經授權的鑄幣事件。攻擊者成功取代了協議的所有權權限，隨後鑄造並拋售價值數百萬美元的本地歐元（EURR）和美元（USDR）穩定幣，導致兩種資產急劇脫鉤20%。
攻擊的經過
根據安全公司 Blockaid 編輯的鏈上追蹤數據，該事件特別針對 StablR 項目的多簽錢包（multisig）核心安全機制。
一旦攻擊者成功劫持了 USDR 和 EURR 智能合約的管理權限，他們便執行了雙重提取：
代幣鑄造：攻擊者非法鑄造了 835 萬 USDR 和 450 萬 EURR，未經任何抵押支持。
清算：這些新鑄造的代幣迅速在去中心化交易所（DEX）中兌換成以太坊。由於這些池中的流動性較薄，大量代幣的湧入引發了高滑點。
獎勵：攻擊者成功將價值 1040 萬美元的未抵押穩定幣兌換成 1115 ETH（約值 280 萬美元）。
治理失敗的分析
安全分析師強調，此次事件並非由典型的複雜智能合約漏洞引起，而完全源於嚴重且根本的協議治理缺陷以及穩定幣發行方的操作監督失誤。
🛑 重要治理缺陷被利用
三簽名閾值：多簽錢包配置不當，設為鬆散的 1/3 閾值。這意味著只需一個授權簽名即可執行任何高層命令。因此，只要攻擊者成功取得一個所有者密鑰，就能完全控制系統操作，並能添加自己或移除其他合法所有者。
疏忽的私鑰管理：操作安全（OpSec）不足，導致一個所有者的私鑰暴露並洩漏，讓攻擊者獲得了所需的單一簽名。
缺乏時間鎖：該協議完全沒有時間鎖機制。由於沒有強制延遲或二次確認階段來完成管理升級，攻擊者能立即切換所有權權限並執行鑄幣，沒有任何緩衝時間讓團隊介入。
合規的矛盾：StablR 自稱為完全合規、100%抵押的穩定幣發行商，目標對象為歐盟的《加密資產市場規範》（MiCA）框架。儘管其儲備支持系統和隔離的法幣帳戶仍然完好，但此次漏洞揭示了一個行業的重要教訓：監管合規和嚴格審計並不能保護協議，若其日常運營安全層存在集中式單點故障漏洞。