#StablRStablecoinDepegsAfterExploit

Крах доверия вокруг StablR может стать одним из самых ярких напоминаний о том, что стабильность стейблкоинов зависит гораздо больше от архитектуры управления, чем от брендинга, регулирования или рыночных нарративов.

Изначально казавшийся небольшим взлом быстро превратился в широкую дискуссию о структурных уязвимостях безопасности внутри развивающихся экосистем стабилькоинов, особенно тех, что пытаются позиционировать себя как регулируемые альтернативы на растущем рынке цифровых активов Европы.

StablR, эмитент стабилькоинов из Мальты, действующий в рамках регуляторной системы MiCA Европейского союза, построил свою репутацию на соблюдении правил, институциональном соответствии и регулируемой инфраструктуре цифровых активов. Протокол предлагал два основных стабилькоина:
EURR, предназначенный как евро-привязанный стабилькоин, и USDR, предназначенный для строгого паритета с долларом США.

Проект получил значительную доверие после получения инвестиционной поддержки от Tether в конце 2024 года, что многие интерпретировали как косвенную валидацию со стороны крупнейшего в мире эмитента стабилькоинов. В пиковые моменты совокупная рыночная капитализация EURR и USDR достигала примерно 25 миллионов долларов, делая StablR все более заметным в европейских DeFi-экосистемах и среди пользователей, ищущих альтернативы стабилькоинам, соответствующим требованиям MiCA.

Но 24 мая 2026 года это доверие рухнуло очень быстро.

Фирма по безопасности блокчейна Blockaid обнаружила активную уязвимость, нацеленную на инфраструктуру эмиссии StablR. Что делает это событие особенно важным, так это то, что сбой не возник из-за сложной ошибки в смарт-контракте или продвинутой криптографической атаки. Вместо этого, весь крах возник из гораздо более фундаментальной проблемы:
провала дизайна управления.

В центре инцидента оказалась очень опасная архитектура мультиподписей 1 из 3, контролирующая полномочия по эмиссии.

На практике это означало, что любой один подписант, обладающий одним приватным ключом, мог независимо авторизовать важные административные действия без необходимости одобрения остальных подписантов. Как только злоумышленник успешно скомпрометировал один ключ, система фактически потеряла все значимые меры безопасности.

Эскалация произошла очень быстро.

Злоумышленник добавил свой собственный кошелек в качестве владельца мультиподписей, удалил двух легитимных подписантов и получил полный односторонний контроль над инфраструктурой эмиссии протокола. За считанные минуты то, что должно было функционировать как система совместного управления, превратилось в полностью скомпрометированную среду с одним контролем.

Получив доступ, злоумышленник создал огромные объемы неподдерживаемых стабилькоинов.

Было создано примерно 8,35 миллиона USDR и 4,5 миллиона EURR без законных залогов, мгновенно вводя синтетический запас в экосистему. В целом, взлом внес примерно 13,5 миллиона долларов в виде неподдерживаемых активов на рынки, уже обладающие относительно ограниченной ликвидностью.

Это немедленно вызвало крах стабильности привязки.

EURR быстро упала с запланированного уровня $1,15 примерно до $0,88, затем стабилизировалась в диапазоне около $0,85–$0,88. В то же время USDR пережил еще более серьезное падение из-за меньшей ликвидности и слабой глубины рынка.

USDR изначально рухнул с $1,00 примерно до $0,70, а некоторые пулы децентрализованных бирж временно показывали цены около $0,38 в периоды сильного дисбаланса и низкой ликвидности.

В определенные моменты некоторые пулы автоматических маркет-мейкеров становились перегруженными продавленным давлением, при этом USDR доминировал в ликвидности сверх устойчивых уровней. Когда пулы теряют баланс в таких условиях, механизмы ценообразования быстро ухудшаются, ускоряя панические распродажи и создавая самоподдерживающиеся нисходящие спирали.

Хотя злоумышленник создал более 13 миллионов долларов в синтетическом запасе, фактический вывод кажется значительно меньшим, поскольку условия ликвидности не позволили аккуратно вывести крупные суммы. По сообщениям, злоумышленник конвертировал украденные активы примерно в 1115 ETH, что на тот момент стоило около 2,8 миллиона долларов.

Однако более широкий ущерб распространялся гораздо дальше, чем просто реализованный вывод.

Аналитик ZachXBT оценил фактические системные потери ближе к 10 миллионам долларов, учитывая рыночное влияние, потери держателей и эффекты дестабилизации привязки.

Это различие важно, потому что сбои в стабилькоинах создают психологический ущерб, который зачастую превышает размер прямой уязвимости.

В системах стабилькоинов доверие — это продукт.

Как только пользователи начинают сомневаться в гарантиях выкупа, целостности резервов или управленческих контролях, стабильность привязки может рухнуть очень быстро, независимо от фактического состояния резервов.

Один из самых тревожных аспектов этого инцидента — насколько он кажется предотвращаемым в ретроспективе.

Структура мультиподписей 1 из 3 предлагает крайне слабую защиту для систем, контролирующих полномочия по эмиссии. В условиях противодействия она работает лишь немного лучше, чем система с одним ключом, потому что компрометация любого подписанта фактически компрометирует весь протокол.

Более зрелые DeFi-протоколы, такие как MakerDAO, Aave и Compound, обычно используют значительно более сильные механизмы управления, включая:
более высокие пороги мультиподписей,
задержки выполнения с тайм-аутами,
системы экстренного вето,
и многоуровневую административную валидацию.

StablR, по сообщениям, не реализовал эти меры эффективно.

Не было обязательных окон для проверки перед выполнением изменений владения. Не существовало кворумов для критических действий по эмиссии. Не было второго уровня проверки, предотвращающего односторонние действия. Как только злоумышленник получил первоначальный доступ, административное захват стало почти без усилий.

Не менее разрушительной оказалась реакция на взлом в коммуникациях.

К 25 мая не было опубликовано полного публичного отчета о происшествии, четко описывающего статус резервов, планы восстановления, реструктуризацию управления или механизмы компенсации пострадавшим держателям.

В рынках стабилькоинов скорость коммуникации — не опция,
она сама является частью механизма стабильности.

Когда у пользователей отсутствует информация во время кризиса, рынки автоматически начинают предполагать худшие сценарии. Эта неопределенность ускоряет выкуп, выход ликвидности и дальнейшие ценовые разрывы.

Остаются без ответа несколько критических вопросов:
Резервы все еще полностью в порядке?
Будет ли сжигаться неподдерживаемый запас?
Могут ли продолжаться выкупы в обычном режиме?
Будет ли архитектура управления немедленно обновлена?
И самое главное:
Могут ли восстановить доверие после такого серьезного провала управления?

Более широкие последствия теперь выходят за рамки самого StablR.

Хотя экосистема остается относительно небольшой по сравнению с гигантами вроде USDT или USD Coin, этот инцидент усиливает растущие опасения по поводу интеграции малых стабилькоинов в децентрализованные финансы.

Стейблкоины глубоко связаны с кредитными протоколами, пулами ликвидности, системами кредитования и рынками залогов. Когда один стабилькоин внезапно терпит крах, его последствия могут распространиться на несколько слоев DeFi через принудительные ликвидации, нарушение залогов и фрагментацию ликвидности.

Именно поэтому событие имеет структурное значение.

Крах StablR показывает, что соответствие регуляторным требованиям само по себе не гарантирует безопасность. Соответствие MiCA может улучшить юридическую структуру и надзор, но дизайн управления протоколом остается не менее важным.

Рынок сейчас делится на три поведенческие группы.

Некоторые трейдеры пытаются накапливать по сниженной цене позиции EURR и USDR, надеясь, что резервы останутся целыми и частичное восстановление станет возможным.

Другие сосредоточены на сохранении капитала, выходя из позиций независимо от реализованных убытков из-за опасений дальнейшего ухудшения ситуации.

Между тем, более широкие участники DeFi полностью переоценивают свою экспозицию к малым стабилькоинам, все больше возвращаясь к активам с более глубокой ликвидностью, таким как USDT и USD Coin.

Будущее EURR и USDR теперь зависит почти полностью от того, сможет ли StablR одновременно восстановить три столпа:
прозрачность резервов,
доверие к управлению,
и ликвидность.

Без всех трех рынки вряд ли смогут восстановить полное доверие к привязке.

В основе этого инцидента лежит не просто технический взлом.

Это — структурный провал управления, который показал, как быстро может исчезнуть доверие, ликвидность и ценовая стабильность, когда критическая финансовая инфраструктура лишена надежных административных защит.

И в рынках стабилькоинов, как только доверие нарушается, восстановление становится гораздо сложнее, чем сам взлом.