Penerbit stablecoin Eropa StablR pada malam 24 Mei hingga dini hari 25 Mei mengalami serangan multi-tanda tangan. Pelaku menyerang dengan mencuri kunci privat multi-tanda tangan 1/3 dari kontrak mint (pencetakan koin) dan, dalam waktu sekitar 3 jam, mencetak 8,35 juta USDR serta 4,5 juta EURR, kemudian menjualnya di bursa terdesentralisasi, menyebabkan EURR anjlok ke sekitar 0,85 dolar AS dan USDR turun ke sekitar 0,64 dolar AS.
Mekanisme teknis serangan: bagaimana ambang multi-tanda tangan 1/3 ditembus
Blockaid mengonfirmasi bahwa akar teknis serangan ini adalah kebocoran kunci privat salah satu penandatangan di mekanisme multi-tanda tangan mint StablR. Fungsi mint StablR menggunakan mekanisme multi-tanda tangan 1/3 (ambang tanda tangan sepertiga), yakni cukup satu dari tiga penandatangan berwenang untuk menyetujui pelaksanaan mint. Pelaku menembusnya melalui kunci privat yang bocor: menambahkan diri sendiri sebagai administrator; mengganti pemilik yang sah; dan menyelesaikan mint tanpa otorisasi sebanyak 8,35 juta USDR serta 4,5 juta EURR dalam waktu 3 jam.
Pelaku juga secara tambahan memanfaatkan kendali administrasi yang didapat, dengan memasukkan setidaknya satu token yang dimiliki oleh pihak lawan transaksi yang sah ke dalam daftar hitam dan memusnahkannya—catatan di rantai mengonfirmasi setidaknya satu kali pemusnahan sekitar 2,7 juta EURR (sekitar 2,4 juta dolar AS), dengan token tersebut berasal dari sebuah wallet yang selama berbulan-bulan melakukan operasi penebusan rutin bersama StablR. Dana awal wallet pelaku diisi melalui perjanjian transfer lintas-chain Circle di Noble menggunakan CCTP.
Data yang dikonfirmasi: kerugian nyata dan dampak pasar
Blockaid menganalisis dan mengonfirmasi bahwa token senilai sekitar 10,4 juta dolar AS ditukar menjadi ETH melalui bursa terdesentralisasi, namun karena slippage besar akibat likuiditas yang tidak memadai, estimasi keuntungan bersih aktual dari serangan tersebut sekitar 2,8 juta dolar AS. Hingga pagi hari Minggu, dompet terkonsentrasi pelaku yang diberi label oleh Etherscan sebagai “StablR Exploiter 2” memegang 1.488 ETH (sekitar 3,15 juta dolar AS). ZachXBT telah membantu membekukan dana yang dicuri dalam jumlah enam digit.
Dari sisi harga, berdasarkan data CoinGecko: harga EURR turun hingga sekitar 0,85 dolar AS (patokan euro ke dolar AS sekitar 1,15 dolar AS, dengan penurunan sekitar 26%); USDR turun hingga 0,64 dolar AS (penurunan sekitar 36%). Total suplai stablecoin berbasis euro di Ethereum saat ini sekitar 0,24% dari total suplai stablecoin berbasis fiat yang menopang Ethereum.
FAQ
Seberapa aman ambang multi-tanda tangan 1/3 di industri, dan mengapa dinilai sebagai cacat desain?
Prinsip desain keamanan multi-tanda tangan (Multisig) adalah meningkatkan jumlah kunci yang harus ditembus oleh penyerang; semakin rendah ambangnya, semakin mudah untuk ditembus. Ambang 1/3 (sepertiga) berarti pelaku hanya perlu mengendalikan satu dari tiga penandatangan berwenang untuk menjalankan penuh operasi bernilai hak istimewa tinggi seperti minting. Perbandingan industri: jembatan Harmony Horizon pada 2022 yang sebelum peristiwa peretasan senilai 100 juta dolar AS masih menggunakan ambang 2/5, dan pada saat itu analis keamanan sudah menyoroti bahwa itu merupakan desain keamanan yang tidak memadai; skema multi-tanda tangan arus utama seperti Gnosis Safe umumnya merekomendasikan ambang 3/5 atau lebih tinggi untuk operasi bernilai hak istimewa tingkat protokol. Blockaid secara tegas menyatakan bahwa ambang 1/3 merupakan masalah tata kelola dan manajemen kunci milik StablR, bukan bug pada kode kontrak pintar itu sendiri.
Bagaimana latar belakang kepatuhan MiCA StablR dan investasi Tether/Kraken memengaruhi peristiwa serangan ini?
MiCA (aturan regulasi pasar aset kripto) terutama mengatur persyaratan cadangan stablecoin, kualifikasi penerbitan, dan pengungkapan risiko, tidak ada ketentuan teknis spesifik yang secara langsung mewajibkan arsitektur keamanan kontrak pintar. StablR memegang lisensi e-money dari MFSA dan kualifikasi kepatuhan MiCA, namun pengakuan regulator tersebut tidak mencakup pilihan desain keamanan untuk penerapan kontrak. Tether dan Kraken sebagai investor strategis juga tidak mengalami kerugian finansial langsung dalam peristiwa ini, tetapi kejadian tersebut berdampak pada reputasi investasi keduanya di pasar stablecoin yang patuh di Eropa.
Bagaimana serangan ini mencerminkan perubahan pola ancaman keamanan kripto pada 2026 secara keseluruhan?
Analisis Blockaid dan beberapa kasus serangan utama pada 2026 mengarah pada tren yang sama: kejadian dengan kerugian paling parah pada masa itu tidak lagi berasal dari celah kode kontrak pintar baru, melainkan dari kesalahan desain pada akses istimewa, arsitektur tata kelola, dan manajemen kunci. Peristiwa Drift Protocol pada 1 April (kerugian lebih dari 280 juta dolar AS) juga menyelesaikan pemindahan dana melalui Circle CCTP, serta melibatkan pola serangan akses istimewa; data DeFiLlama mengonfirmasi bahwa April 2026 adalah bulan dengan jumlah kejadian serangan hacker terbanyak dalam sejarah kripto. Desain multi-tanda tangan 1/3 StablR dan multi-tanda tangan 2/5 Harmony sama-sama menunjukkan bahwa saat protokol diperluas skalanya, sering kali mereka lebih mengutamakan kemudahan operasional daripada redundansi keamanan kunci.
