StablR’ın dolara endeksli USDR ve euroya endeksli EURR sabit coinleri, bir saldırganın yaklaşık 10,4 milyon dolarlık teminatsız token basarak yaklaşık 2,8 milyon dolarlık değer çekmesi ve fiyatların yüzde 30'a kadar çökmesine neden olmasının ardından Pazar günü Ethereum ağında paritelerini kaybetti.
Blockchain güvenlik firması Blockaid, 24 Mayıs 2026'da gerçekleşen istismarı ilk kez tanımlayan X gönderisinde, "Bu bir akıllı sözleşme hatası değil; bu bir anahtar yönetimi ve yönetişim hatasıdır" dedi.
İhlal, StablR’ın basım işlemlerini gerçekleştiren ve işlemleri yetkilendirmek için üç anahtardan yalnızca birini gerektiren çoklu imza (multisig) cüzdanını kontrol eden özel bir anahtarın ele geçirilmesinden kaynaklandı. Saldırgan, bu tek anahtarı kullanarak kendi adresine sahiplik yetkisi verdi, yasal imzacılardan yetkiyi aldı ve ardından 8,35 milyon USDR ve 4,5 milyon EURR bastı. Basılan tokenların nominal değeri 10 milyon doların üzerinde olsa da, saldırgan merkeziyetsiz borsalardaki düşük likidite nedeniyle bunları yalnızca yaklaşık 2,8 milyon dolar değerindeki 1.115 ETH'ye dönüştürebildi.
Olay, kod kusurlarından ziyade zayıf operasyonel güvenlik ve yönetişim uygulamalarının giderek artan büyük istismar kaynağı olduğu merkeziyetsiz finans (DeFi) alanındaki kalıcı bir güvenlik açığını vurguluyor. Saldırı, 2026'nın başlarında Resolv sabit coin protokolünde meydana gelen benzer bir ihlali yansıtıyor ve yalnızca Mayıs ayında gerçekleşen bir düzineden fazla önemli güvenlik olayına bir yenisini ekliyor.
Piyasaya kontrolsüzce giren teminatsız tokenlar, StablR’ın her iki ürünü için de anında fiyat çöküşlerini tetikledi. 11 milyon dolarlık piyasa değerine sahip olan USDR, %30 düşerek 0,70 dolara kadar geriledi. 14 milyon dolar piyasa değerine sahip olan EURR ise 1,15 dolarlık paritesinden yaklaşık %23 düşerek 0,88 dolara geriledi. Yayına hazırlık saati itibarıyla her iki token da paritesini geri kazanamadı.
AB'nin MiCA çerçevesi kapsamında Malta merkezli ve denetlenen bir Elektronik Para Kuruluşu (EMI) olan StablR'a yapılan saldırı, bu tür güvenlik hatalarını önlemede düzenleyici statüsünün etkinliği hakkında soruları gündeme getiriyor. Aralık 2024'te Tether'den stratejik yatırım alan şirket, istismar veya sahipler için olası geri kazanım planları hakkında henüz resmi bir açıklama yapmadı.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.
