Introduction
Stablecoins are usually examined along two axes: the quality of their reserves and the credibility of their redemption guarantee. Both axes assume a third, rarely scrutinized property — that the issuer’s minting key cannot be used by anyone other than the issuer, for any reason other than backed issuance. The StablR incident, in which an attacker exploited a multisig misconfiguration to mint roughly $13.5 million in unbacked EURR and USDR tokens before dumping them into on-chain liquidity, is a reminder that this third axis is doing most of the work in the phrase “fully backed.”
EURR and USDR are euro- and dollar-denominated stablecoins issued by StablR, a Netherlands-based issuer operating under European licensing. They are small in absolute terms — a rounding error against USDT or USDC — but their architecture is structurally similar to every fiat-backed stablecoin in circulation: a permissioned mint function, a custodian holding reserves, and a governance layer that controls who can call the mint. When that governance layer fails, the rest of the construction fails with it, regardless of how clean the reserves are.
This post-mortem reconstructs what is publicly known about the exploit, traces the on-chain dump that drove USDR briefly to around $0.40, and uses the incident as a case study in stablecoin custody risk. We are less interested in StablR specifically than in what the event reveals about a category of risk that most issuer disclosures treat as out of scope. Multisig wallets have become the default control surface for stablecoin issuance, bridge custody, and treasury management across crypto. The assumptions embedded in that default — about signer hygiene, threshold selection, and operational separation — deserve more scrutiny than they receive.
How a permissioned mint becomes a single point of failure
A fiat-backed stablecoin is, mechanically, a very simple contract. There is a token with a mint(address, amount) function and a burn counterpart. Access to mint is restricted to one or more privileged addresses — typically a multisignature wallet controlled by the issuer. The economic guarantee that one token equals one unit of fiat lives entirely off-chain, in the custodian’s reserve account; the on-chain contract enforces nothing about backing. The mint function will produce tokens whenever an authorized signer set says it should.
This design is intentional. Issuers need the flexibility to mint against incoming wire transfers, burn against redemptions, and adjust supply without rewriting the contract. The alternative — proof-of-reserves enforced on-chain through a continuously updated oracle — exists in research and in a handful of newer designs, but the dominant production model for licensed fiat-backed stablecoins remains the privileged mint. Every major dollar stablecoin (USDT, USDC, USDP, PYUSD) operates this way. So does EURR.
The consequence is that the multisig controlling the mint function is the most consequential piece of operational security at the issuer. If signing authority is misconfigured, the contract will dutifully execute whatever the (now-compromised) signer set asks. The reserve account is irrelevant in that moment — the on-chain token supply has already increased, and any holder who can route through a liquidity venue can convert newly minted, unbacked tokens into other assets before the market reprices the stablecoin.
Why multisig is the default and what it papers over
Multisig wallets — most commonly Safe (formerly Gnosis Safe) deployments — became the default custody primitive in DeFi for good reasons. They eliminate single-key custody, support threshold schemes (M-of-N approvals), and provide a transparent on-chain record of which signers approved what. For an issuer, a 3-of-5 or 4-of-7 multisig appears to satisfy basic operational security: no single employee can mint, signers can be geographically distributed, and key compromise of any one signer is recoverable.
What the multisig abstraction tends to paper over is the operational reality underneath. The threshold is only as strong as the weakest combination of signers an attacker can compromise simultaneously. If signers reuse hardware wallets across roles, share infrastructure, sign blindly through frontends, or — most dangerously — if the signer set or threshold is altered by a single signer or by a less-protected admin role, the M-of-N guarantee collapses to a much smaller effective threshold. The StablR incident, on the available public information, appears to fall into the last category: not a brute-force compromise of multiple signers, but a configuration flaw that let an attacker reach the mint function without satisfying the nominal threshold.
Reconstructing the exploit
Public reporting on the StablR incident establishes a few load-bearing facts. An attacker gained the ability to call the mint function on both the EURR and USDR contracts and used it to produce approximately $13.5 million in unbacked tokens. The newly minted supply was then routed to on-chain liquidity venues and sold, with USDR trading as low as roughly $0.40 against its dollar peg before liquidity drained and trading effectively halted on the affected pools. EURR experienced a similar, if less dramatic, dislocation.
We want to be careful about what the public record supports and what it does not. As of the immediate aftermath, the precise mechanism — whether a signer key was compromised, whether an admin role outside the multisig was exploited, whether a contract upgrade path was abused, or whether a misconfigured Safe module allowed bypass of the threshold — has not been definitively disclosed by the issuer. What is clear is that the failure was at the access-control layer, not the reserve layer. The reserves, as far as has been publicly stated, were intact; the contract simply minted tokens that no reserve corresponded to.
The shape of the attack, on the evidence available
Several patterns recur in multisig exploits of this profile, and any forensic reconstruction has to consider them as candidates rather than confirmed mechanisms:
- Module misconfiguration. Safe wallets support modules — auxiliary contracts that can execute transactions on behalf of the Safe without going through the normal signer threshold. A module installed for an operational reason (automated minting against attested deposits, for instance) becomes an alternative path to the mint function. If the module itself has weaker access controls than the parent multisig, it becomes the effective threshold.
- Orphaned or over-privileged signer. A former employee, contractor, or integration partner whose signing key was never rotated out of the set. The nominal 4-of-7 becomes 4-of-7-with-one-attacker-controlled, which materially changes the difficulty of reaching threshold.
- Owner-change exploit. A bug or misconfiguration allowing the signer set or threshold itself to be modified through a path that does not require full threshold approval. Once an attacker can add their own address as a signer or lower the threshold to one, every subsequent action looks legitimate on-chain.
- Phishing or signing-frontend compromise. Signers approve transactions through interfaces that display human-readable summaries. If the interface is compromised or the transaction data is crafted to obscure its true effect, signers can collectively approve a malicious action — most commonly a contract upgrade or admin transfer — while believing they are approving routine operations.
Without a definitive post-mortem from StablR, attributing the incident to any one of these is speculation. The category of failure, however, is consistent: a control surface that was presumed to require multiple independent approvals turned out to be reachable by fewer.
The on-chain dump and the mechanics of the depeg
Minting unbacked tokens is only half of an exploit of this kind. The other half is monetizing them before the market notices. Stablecoins trade primarily against other stablecoins or against ETH in concentrated-liquidity pools on Uniswap v3, Curve, and similar venues. The liquidity in these pools, particularly for smaller-issuer stablecoins like USDR and EURR, is shallow relative to the supply that can be minted in a single transaction.
The depeg sequence in cases like this follows a predictable arc. The attacker mints into their own address, approves a router, and executes swaps against the deepest available pools — typically USDR/USDC or EURR/USDC pairs, possibly routed through intermediate ETH legs to access deeper liquidity. Early swaps execute close to peg. As the pool’s USDR or EURR side fills with the attacker’s tokens and its USDC side drains, the curve repricing accelerates: each subsequent unit of unbacked token extracts less hard stablecoin. The attacker is racing two clocks — the time before arbitrageurs and the issuer detect the anomaly, and the time before pool liquidity is exhausted to the point where further extraction is not worth the slippage.
The reported low of around $0.40 for USDR is consistent with this pattern. A drop of roughly 60% from peg in a stablecoin pool implies either very thin liquidity relative to dump size, a cascading withdrawal by other liquidity providers detecting the anomaly, or both. Liquidity providers in stablecoin pools are particularly vulnerable to this kind of event: by the time they recognize the depeg and attempt to withdraw, their position has been rebalanced into the depegging asset, and exiting realizes the loss.
Who actually loses
The accounting of a multisig-mint exploit is worth being precise about, because the loss is distributed in non-obvious ways:
- Liquidity providers in USDR and EURR pools absorb the direct loss. Their positions, denominated in USDC or ETH on entry, are rebalanced into the depegging stablecoin as the attacker swaps. They emerge holding unbacked tokens.
- Secondary holders who acquired EURR or USDR before the exploit see the market value of their holdings fall, even though, in principle, their pro rata claim on the issuer’s reserves may be unchanged. If the issuer honors redemptions at par for legitimate holders, this loss may be partially or fully reversed over time; if the issuer cannot distinguish legitimate holders from attacker-derived holders, or if reserves are insufficient to cover the inflated supply, the loss crystallizes.
- The attacker ends up holding the proceeds of the swap — predominantly USDC, ETH, or whatever the deepest counter-asset was — which can be laundered through mixers, bridges, or DEX aggregators. Recovery of these funds depends on the speed of exchange and protocol cooperation.
- The issuer loses reputational capital and, in the worst case, faces a reserve shortfall if they choose to honor redemptions on the inflated supply.
The reserves themselves are typically not touched. This is the cruel asymmetry of the failure mode: an issuer can have perfectly clean, fully attested, segregated reserves and still produce a depeg event, because the depeg is driven by on-chain supply expansion that the reserves never anticipated covering.
How stablecoin issuers compare on custody architecture
The relevant question for the broader market is not “did StablR fail” — they did — but “what is the distribution of similar failure modes across the issuers people actually rely on.” A complete comparison would require disclosures most issuers do not make, but the rough outlines are visible from on-chain inspection and published documentation.
The major dollar issuers
Tether (USDT) has historically been opaque about its operational security architecture. Mint and burn operations on USDT are executed from treasury addresses controlled by Tether; the specifics of signing arrangements are not public. The scale of USDT supply means that any single mint event, even a large one, is small relative to circulating supply, which limits depeg impact from a single exploit — but the central control point is at least as concentrated as smaller issuers.
Circle (USDC) operates with more public structure. USDC’s contracts include a masterMinter role that authorizes other addresses to mint up to specified allowances, with the master minter itself controlled by a multisig. Circle has published details about its operational security in regulatory filings and audits. The architecture is recognizably similar to StablR’s in shape — a privileged role gated by a multisig — and is exposed to the same category of risk in principle, mitigated by the maturity of Circle’s operational practices.
Paxos (USDP, PYUSD) operates under a New York trust charter with regulatory oversight of operational controls. The technical architecture remains a privileged-mint model.
The structural commonality
Across these issuers, the architectural pattern is the same: a privileged on-chain role, controlled by a multisignature wallet, executing mint and burn operations against off-chain reserve movements. The differences are in operational maturity — signer selection, hardware wallet practices, key rotation cadence, transaction-signing hygiene, module configuration, monitoring — none of which are visible to outside analysts in any rigorous way.
This is the uncomfortable conclusion: the dollar stablecoin sector is broadly exposed to the same class of risk that materialized at StablR. The reason it has not materialized at larger issuers is some combination of better operational practice, more attacker attention attracted by the higher value (which is double-edged), and luck. None of these are guarantees.
Alternative architectures
A handful of designs reduce reliance on privileged minting. Algorithmic stablecoins (with their own well-documented failure modes) and overcollateralized crypto-backed stablecoins like DAI replace the issuer-mint with collateral-deposit logic enforced on-chain; there is no equivalent of a multisig mint to compromise. Newer designs experiment with proof-of-reserves attested on-chain through oracle networks, which would in principle allow a contract to refuse mints that would exceed attested reserves — but these designs introduce their own oracle-trust assumptions and have not displaced the privileged-mint model in production.
A framework for evaluating stablecoin custody risk
If we accept that the privileged-mint model is the production reality for the foreseeable future, the question becomes how to evaluate the operational security around it. We propose four axes for analysts and allocators to apply when assessing a fiat-backed stablecoin.
1. Threshold and signer composition
The basic question: what is the M of N, and who are the N. A 4-of-7 multisig is meaningfully different from a 2-of-3, and both are different from a 3-of-5 in which one signer is a hot key controlled by an automation system. Public disclosure of signer identity is rare and probably undesirable for security reasons, but disclosure of signer category — independent board members, executive officers, security team, external custodian — is reasonable to expect. Issuers who decline to disclose even the threshold and category breakdown are asking to be trusted on a dimension where trust has visibly failed.
2. Module and admin-role inventory
Beyond the headline multisig, what other addresses or contracts have privileged access to the token contract? An upgrade-admin, a pauser, a blacklister, an emergency minter, or any Safe module installed for operational convenience all constitute additional attack surface. An issuer who can produce a complete, auditable inventory of these roles — and explain the threshold protecting each — is operating at a different level of maturity than one who cannot.
3. Operational separation and signing hygiene
This is the hardest axis to assess from outside, but the most predictive. Are signers using hardware wallets with transaction parsing? Is there an out-of-band confirmation step for high-value or unusual transactions? Are signer keys rotated on a defined cadence and on personnel changes? Is there a monitoring system that alerts on mint transactions outside expected patterns? Issuers do not typically publish this detail, but SOC 2 reports, ISO 27001 certifications, and the contents of regulatory filings provide indirect evidence.
4. Reserve-to-supply reconciliation cadence
Even if the mint function is compromised, a sufficiently fast detection-and-response loop limits damage. If reserve attestations are reconciled against on-chain supply continuously or near-continuously, an unexpected supply expansion is detectable within minutes. If reconciliation is monthly, an attacker has weeks of cover. The cadence and automation of this reconciliation is, we think, underweighted in current evaluations of stablecoin quality.
A stablecoin that scores well on backing quality but poorly on these four axes is exactly the profile that produces StablR-shaped events. A stablecoin that scores well on all five — backing plus the four operational axes — is structurally more defensible, regardless of issuer size.
Implications and what to watch
The StablR incident is small in dollar terms relative to the major stablecoin failures of the last cycle, and it would be easy to file it as a footnote. We think that is the wrong reading. The exploit demonstrated, against a live licensed issuer operating under European stablecoin regulation, that the operational layer beneath “fully backed” can fail in ways that produce instantaneous depegs without any change in the underlying reserves. The regulatory frameworks coming into force across major jurisdictions — MiCA in Europe, various US proposals — are heavily focused on reserve composition, auditing, and redemption rights. They are comparatively light on operational security requirements for the issuance infrastructure itself.
Several things are worth watching from here. The first is whether StablR publishes a detailed technical post-mortem identifying the specific failure mode. The credibility of the broader stablecoin sector depends on incidents like this being dissected publicly, the way smart contract exploits in DeFi protocols typically are. If the post-mortem is opaque or absent, the lesson available to other issuers is diminished.
The second is whether regulators incorporate operational security requirements into stablecoin frameworks with the same specificity they apply to reserves. A meaningful regime would require disclosure of multisig threshold and signer category, an inventory of privileged roles, evidence of independent operational audits, and incident-response standards. None of these exist in current frameworks at a level of detail comparable to reserve requirements.
The third, more speculative, is whether the market begins to price operational risk into stablecoin selection. Right now, the choice between stablecoins is dominated by liquidity, regulatory status, and yield (in the case of newer interest-bearing variants). Operational security is implicitly assumed adequate or implicitly priced into reputation. A market that distinguished, on price or on integration choices, between issuers with demonstrably mature operational security and those without would create the right incentive gradient. We are not there.
The uncomfortable open question is how many other issuers have configurations that would fail under similar pressure. The honest answer is that nobody outside those issuers knows, and in many cases the issuers themselves may not have audited their own configurations rigorously enough to know. The StablR exploit is unlikely to be the last of its kind. It may, if the post-mortem is honest and the response is structural, be among the more useful ones.
들어가며
스테이블코인은 보통 두 가지 축으로 평가된다. 준비금의 질과 상환 보증의 신뢰성이 그것이다. 그런데 두 축 모두 좀처럼 검토되지 않는 세 번째 전제를 깔고 있다. 바로 발행사의 발행 키가 발행사 자신만이, 오직 담보 기반 발행이라는 목적으로만 사용될 수 있다는 가정이다. StablR 사건은 이 세 번째 축이 “완전 담보”라는 표현에서 실질적으로 가장 많은 무게를 지탱하고 있음을 다시금 일깨워 준다. 공격자는 멀티시그 설정 오류를 악용해 대략 1,350만 달러 상당의 무담보 EURR·USDR 토큰을 발행한 뒤 온체인 유동성 풀에 전량 매도했다.
EURR과 USDR은 네덜란드 기반의 StablR이 유럽 라이선스 하에 발행하는 유로·달러 표시 스테이블코인이다. 절대 규모로는 작은 편이지만 — USDT나 USDC 앞에서는 반올림 오차 수준 — 구조적으로는 현재 유통 중인 모든 법정화폐 담보 스테이블코인과 동일하다. 권한이 제한된 발행 함수, 준비금을 보관하는 수탁기관, 그리고 발행 함수 호출 권한을 통제하는 거버넌스 레이어. 이 거버넌스 레이어가 무너지면 준비금이 아무리 깔끔해도 나머지 구조가 함께 무너진다.
이 포스트모텀은 익스플로잇에 관해 공개적으로 알려진 사실을 재구성하고, USDR을 일시적으로 약 0.40달러까지 끌어내린 온체인 덤핑 과정을 추적하며, 이번 사건을 스테이블코인 수탁 리스크 사례 연구로 활용한다. StablR 자체보다는, 대부분의 발행사 공시가 범위 밖으로 처리하는 리스크 유형이 이번 사건을 통해 무엇을 드러냈는지에 관심을 둔다. 멀티시그 지갑은 스테이블코인 발행, 브릿지 수탁, 트레저리 관리 전반에 걸쳐 기본 통제 수단이 되었다. 그 기본값에 내포된 전제들 — 서명자 위생, 임계값 설계, 운영 분리 — 은 지금보다 훨씬 더 엄밀하게 검토되어야 한다.
권한 제한 발행이 단일 실패 지점이 되는 이유
법정화폐 담보 스테이블코인은 메커니즘 측면에서 매우 단순한 컨트랙트다. mint(address, amount) 함수와 그에 대응하는 burn 함수를 가진 토큰이 있고, mint에 대한 접근은 발행사가 통제하는 멀티시그 지갑 등 하나 이상의 권한 주소로 제한된다. 토큰 하나가 법정화폐 한 단위와 동등하다는 경제적 보증은 전적으로 오프체인, 즉 수탁기관의 준비금 계좌에 존재한다. 온체인 컨트랙트는 담보에 관해 아무것도 강제하지 않는다. 발행 함수는 권한을 갖춘 서명자 집합이 요청하면 언제든 토큰을 생성한다.
이러한 설계는 의도적이다. 발행사는 입금된 전신환에 대응해 발행하고, 상환에 대응해 소각하며, 컨트랙트를 다시 작성하지 않고도 공급량을 조정할 수 있는 유연성이 필요하다. 대안 — 지속적으로 업데이트되는 오라클을 통해 온체인에서 강제되는 준비금 증명 — 은 연구 단계와 일부 신규 설계에 존재하지만, 라이선스를 받은 법정화폐 담보 스테이블코인의 지배적인 생산 모델은 여전히 권한 발행이다. 주요 달러 스테이블코인(USDT, USDC, USDP, PYUSD)이 모두 이 방식으로 운영된다. EURR도 마찬가지다.
결과적으로 발행 함수를 통제하는 멀티시그는 발행사의 운영 보안에서 가장 결정적인 요소가 된다. 서명 권한이 잘못 설정되면 컨트랙트는 (이제 탈취된) 서명자 집합이 요청하는 것을 충실히 실행한다. 그 순간 준비금 계좌는 무관하다. 온체인 토큰 공급량은 이미 늘어났고, 유동성 경로를 확보한 보유자라면 누구든 시장이 스테이블코인을 재가격하기 전에 새로 발행된 무담보 토큰을 다른 자산으로 전환할 수 있다.
멀티시그가 기본값이 된 이유와 그것이 가리는 것
멀티시그 지갑 — 가장 흔하게는 Safe(구 Gnosis Safe) 배포 — 은 타당한 이유로 DeFi의 기본 수탁 기본 요소가 되었다. 단일 키 수탁을 없애고, 임계값 방식(M-of-N 승인)을 지원하며, 어떤 서명자가 무엇을 승인했는지 투명한 온체인 기록을 제공한다. 발행사 입장에서 3-of-5나 4-of-7 멀티시그는 기본적인 운영 보안을 충족하는 것처럼 보인다. 직원 한 명이 단독으로 발행할 수 없고, 서명자를 지리적으로 분산할 수 있으며, 특정 서명자 하나의 키가 탈취되더라도 복구할 수 있다.
멀티시그 추상화가 가리는 것은 그 아래의 운영 현실이다. 임계값은 공격자가 동시에 탈취할 수 있는 가장 취약한 서명자 조합만큼만 강하다. 서명자들이 역할 간에 하드웨어 지갑을 재사용하거나, 인프라를 공유하거나, 프론트엔드를 통해 맹목적으로 서명하거나 — 가장 위험하게는 — 서명자 집합이나 임계값 자체가 단일 서명자 또는 보호 수준이 낮은 관리자 역할에 의해 변경될 수 있다면, M-of-N 보증은 훨씬 낮은 실효 임계값으로 붕괴된다. StablR 사건은 현재까지 공개된 정보에 따르면 마지막 범주에 해당하는 것으로 보인다. 여러 서명자를 무차별적으로 탈취한 것이 아니라, 공격자가 명목상의 임계값을 충족하지 않고도 발행 함수에 접근할 수 있게 한 설정 오류다.
익스플로잇 재구성
StablR 사건에 관한 공개 보도는 몇 가지 핵심 사실을 확정한다. 공격자는 EURR과 USDR 컨트랙트 모두에서 발행 함수를 호출할 권한을 획득하여 약 1,350만 달러 상당의 무담보 토큰을 생성했다. 새로 발행된 공급량은 온체인 유동성 경로로 흘러들어 매도되었고, USDR은 달러 페그 대비 약 0.40달러까지 하락했다가 영향을 받은 풀에서 유동성이 고갈되며 거래가 사실상 중단되었다. EURR도 덜 극적이었지만 유사한 이탈을 겪었다.
공개 기록이 뒷받침하는 것과 그렇지 않은 것을 구분해야 한다. 사건 직후 기준으로, 정확한 메커니즘 — 서명자 키 탈취인지, 멀티시그 외부의 관리자 역할 악용인지, 컨트랙트 업그레이드 경로 남용인지, 아니면 잘못 설정된 Safe 모듈이 임계값 우회를 허용했는지 — 은 발행사로부터 확정적으로 공개되지 않았다. 분명한 것은 실패가 접근 제어 레이어에서 발생했지 준비금 레이어가 아니라는 점이다. 준비금은 공개적으로 언급된 바에 따르면 손상되지 않았다. 컨트랙트가 단순히 대응하는 준비금이 없는 토큰을 발행했을 뿐이다.
가용한 증거로 본 공격의 형태
이 유형의 멀티시그 익스플로잇에는 반복되는 패턴들이 있으며, 어떤 법의학적 재구성도 이를 확정된 메커니즘이 아닌 후보로 검토해야 한다.
- 모듈 설정 오류. Safe 지갑은 모듈을 지원한다. 이는 일반 서명자 임계값을 거치지 않고 Safe를 대신해 트랜잭션을 실행할 수 있는 보조 컨트랙트다. 운영상의 이유로 설치된 모듈(예: 입금 확인에 대응하는 자동 발행)은 발행 함수로 가는 대체 경로가 된다. 모듈 자체의 접근 제어가 상위 멀티시그보다 취약하면 그것이 실효 임계값이 된다.
- 방치되거나 과도하게 권한을 부여받은 서명자. 서명자 집합에서 키가 교체되지 않은 전직 직원, 계약자, 또는 통합 파트너. 명목상의 4-of-7이 공격자 통제 키 하나를 포함한 4-of-7이 되어 임계값 도달 난이도가 실질적으로 낮아진다.
- 소유자 변경 익스플로잇. 전체 임계값 승인을 요구하지 않는 경로를 통해 서명자 집합이나 임계값 자체를 수정할 수 있는 버그 또는 설정 오류. 공격자가 자신의 주소를 서명자로 추가하거나 임계값을 1로 낮출 수 있으면, 이후의 모든 행위가 온체인에서 정당하게 보인다.
- 피싱 또는 서명 프론트엔드 탈취. 서명자들은 사람이 읽을 수 있는 요약을 표시하는 인터페이스를 통해 트랜잭션을 승인한다. 인터페이스가 탈취되거나 트랜잭션 데이터가 실제 효과를 숨기도록 조작된 경우, 서명자들이 집합적으로 — 대개 컨트랙트 업그레이드나 관리자 이전 — 악의적인 행위를 승인하면서 일상적인 작업을 승인한다고 믿을 수 있다.
StablR의 확정적인 포스트모텀 없이는 어느 하나로 귀속시키는 것은 추측이다. 그러나 실패의 범주는 일관된다. 복수의 독립적인 승인이 필요하다고 전제되었던 통제 수단이 더 적은 수로 도달 가능한 것으로 드러났다.
온체인 덤핑과 디페깅의 메커니즘
무담보 토큰 발행은 이런 유형의 익스플로잇에서 절반에 불과하다. 나머지 절반은 시장이 알아채기 전에 수익화하는 것이다. 스테이블코인은 주로 Uniswap v3, Curve 등의 집중 유동성 풀에서 다른 스테이블코인이나 ETH와 거래된다. 이 풀의 유동성은, 특히 USDR이나 EURR 같은 소형 발행사 스테이블코인의 경우, 단일 트랜잭션으로 발행할 수 있는 공급량에 비해 얕다.
이런 경우의 디페깅 순서는 예측 가능한 경로를 따른다. 공격자는 자신의 주소로 발행하고, 라우터를 승인한 뒤, 가장 깊은 가용 풀 — 대개 USDR/USDC 또는 EURR/USDC 페어, 더 깊은 유동성에 접근하기 위해 ETH를 경유하는 경로도 포함 — 에서 스왑을 실행한다. 초기 스왑은 페그에 가깝게 체결된다. 공격자의 토큰으로 풀의 USDR이나 EURR 측이 채워지고 USDC 측이 고갈되면서 커브 재가격이 가속된다. 이후 각 단위의 무담보 토큰이 추출하는 하드 스테이블코인이 줄어든다. 공격자는 두 가지 시계와 경쟁한다. 차익거래자와 발행사가 이상 징후를 감지하는 시간, 그리고 추가 추출이 슬리피지 대비 가치가 없어질 때까지 풀 유동성이 소진되는 시간이다.
USDR의 약 0.40달러라는 최저점은 이 패턴과 일치한다. 스테이블코인 풀에서 페그 대비 약 60%의 하락은 덤핑 규모 대비 유동성이 매우 얕거나, 이상 징후를 감지한 다른 유동성 공급자들의 연쇄 인출이 있었거나, 아니면 둘 다임을 시사한다. 스테이블코인 풀의 유동성 공급자들은 이런 유형의 사건에 특히 취약하다. 디페깅을 인식하고 인출을 시도하는 시점에는 이미 포지션이 디페깅 자산으로 재조정되어 있고, 청산하면 손실이 확정된다.
실제 손실은 누가 부담하는가
멀티시그 발행 익스플로잇의 손실 배분은 비직관적인 방식으로 이루어지므로 정확히 짚어볼 필요가 있다.
- USDR·EURR 풀의 유동성 공급자들이 직접 손실을 흡수한다. 진입 시 USDC나 ETH로 표시되던 포지션이 공격자의 스왑 과정에서 디페깅 스테이블코인으로 재조정된다. 결국 무담보 토큰을 보유한 채 남게 된다.
- 2차 보유자들, 즉 익스플로잇 이전에 EURR이나 USDR을 취득한 이들은 원칙적으로 발행사 준비금에 대한 자신의 비례 청구권이 변하지 않았더라도 보유 자산의 시장 가치가 하락하는 것을 경험한다. 발행사가 정당한 보유자에게 액면가로 상환을 이행하면 이 손실이 시간이 지나면서 부분적 또는 전부 회복될 수 있지만, 정당한 보유자와 공격자 유래 보유자를 구분할 수 없거나 준비금이 팽창된 공급량을 감당하기에 부족하면 손실이 확정된다.
- 공격자는 스왑 수익 — 주로 USDC, ETH, 또는 가장 깊은 상대 자산 — 을 보유하게 되며, 이는 믹서, 브릿지, DEX 애그리게이터를 통해 세탁될 수 있다. 자금 회수는 거래소와 프로토콜의 협조 속도에 달려 있다.
- 발행사는 평판 자본을 잃고, 최악의 경우 팽창된 공급량에 대한 상환을 이행하기로 선택하면 준비금 부족에 직면한다.
준비금 자체는 대개 건드려지지 않는다. 이것이 이 실패 양식의 잔혹한 비대칭이다. 발행사는 완벽하게 깔끔하고, 완전히 증명되고, 분리된 준비금을 보유하면서도 디페깅 사건을 일으킬 수 있다. 디페깅이 준비금이 커버하리라고 전혀 예상하지 못했던 온체인 공급 팽창에 의해 주도되기 때문이다.
스테이블코인 발행사별 수탁 아키텍처 비교
더 넓은 시장 관점에서 핵심 질문은 “StablR이 실패했는가” — 그렇다 — 가 아니라 “사람들이 실제로 의존하는 발행사들 전반에 유사한 실패 양식이 어떻게 분포하는가”이다. 완전한 비교를 위해서는 대부분의 발행사가 공개하지 않는 정보가 필요하지만, 대략적인 윤곽은 온체인 검사와 공개 문서로 확인할 수 있다.
주요 달러 발행사들
**테더(USDT)**는 역사적으로 운영 보안 아키텍처에 대해 불투명했다. USDT의 발행·소각 작업은 테더가 통제하는 트레저리 주소에서 실행되며, 서명 체계의 세부 사항은 공개되지 않는다. USDT 공급량의 규모는 단일 발행 사건 하나가 — 아무리 크더라도 — 유통 공급량 대비 작기 때문에 단일 익스플로잇의 디페깅 영향을 제한하지만, 중앙 통제 지점은 소형 발행사들만큼 집중되어 있다.
**서클(USDC)**은 더 공개된 구조로 운영된다. USDC 컨트랙트에는 다른 주소에 지정된 한도 내에서 발행 권한을 부여하는 masterMinter 역할이 있으며, 마스터 민터 자체는 멀티시그가 통제한다. 서클은 규제 신청서와 감사에서 운영 보안에 관한 세부 사항을 공개했다. 아키텍처는 형태상 StablR과 뚜렷이 유사하다 — 멀티시그로 제어되는 권한 역할 — 원칙적으로 같은 범주의 리스크에 노출되어 있으며, 서클의 성숙된 운영 관행으로 완화되고 있다.
**팩소스(USDP, PYUSD)**는 운영 통제에 대한 규제 감독을 갖춘 뉴욕 트러스트 인가 하에 운영된다. 기술 아키텍처는 여전히 권한 발행 모델이다.
구조적 공통점
이들 발행사 전반에 걸쳐 아키텍처 패턴은 동일하다. 멀티시그 지갑이 통제하는 온체인 권한 역할이 오프체인 준비금 변동에 대응해 발행·소각 작업을 실행한다. 차이는 운영 성숙도 — 서명자 선발, 하드웨어 지갑 관행, 키 교체 주기, 트랜잭션 서명 위생, 모듈 설정, 모니터링 — 에 있으며, 이 중 어느 것도 외부 분석가가 엄밀하게 확인할 수 있는 방법이 없다.
이것이 불편한 결론이다. 달러 스테이블코인 섹터는 StablR에서 현실화된 리스크 범주에 광범위하게 노출되어 있다. 대형 발행사에서 현실화되지 않은 것은 더 나은 운영 관행, 높은 가치로 인해 오히려 더 많은 공격자 주목을 끄는 것(양날의 검이지만), 그리고 운의 조합이다. 이 중 어느 것도 보장이 아니다.
대안적 아키텍처
소수의 설계가 권한 발행에 대한 의존을 줄인다. 알고리즘 스테이블코인(자체적으로 잘 알려진 실패 양식을 가진)과 DAI 같은 초과담보 암호자산 담보 스테이블코인은 발행사 발행을 온체인에서 강제되는 담보 예치 로직으로 대체한다. 탈취할 멀티시그 발행 함수가 없다. 신규 설계들은 오라클 네트워크를 통해 온체인에서 증명된 준비금 증명을 실험하고 있으며, 이는 원칙적으로 컨트랙트가 증명된 준비금을 초과하는 발행을 거부할 수 있게 하지만, 이런 설계들은 자체적인 오라클 신뢰 전제를 도입하며 생산 환경에서 권한 발행 모델을 대체하지 못했다.
스테이블코인 수탁 리스크 평가 프레임워크
권한 발행 모델이 예측 가능한 미래 동안 생산 현실임을 인정한다면, 이를 둘러싼 운영 보안을 어떻게 평가할지가 문제가 된다. 법정화폐 담보 스테이블코인을 평가할 때 분석가와 배분자가 적용할 네 가지 축을 제안한다.
1. 임계값과 서명자 구성
기본 질문은 M-of-N에서 M과 N이 무엇이고, N이 누구인가다. 4-of-7 멀티시그는 2-of-3과 의미 있게 다르며, 둘 다 자동화 시스템이 통제하는 핫키가 서명자 중 하나인 3-of-5와 다르다. 서명자 신원 공개는 드물고 보안상 아마도 바람직하지 않지만, 서명자 범주 — 독립 이사회 멤버, 경영진, 보안팀, 외부 수탁기관 — 의 공개는 합당하게 기대할 수 있다. 임계값과 범주 분류조차 공개하기를 거부하는 발행사는 신뢰가 가시적으로 실패한 차원에서 신뢰해달라고 요청하는 것이다.
2. 모듈 및 관리자 역할 목록
핵심 멀티시그 외에도, 토큰 컨트랙트에 권한 접근 권한을 가진 다른 주소나 컨트랙트는 무엇인가? 업그레이드 관리자, 일시 정지 권한, 블랙리스터, 비상 발행자, 또는 운영 편의를 위해 설치된 Safe 모듈 등은 모두 추가적인 공격 표면을 구성한다. 이러한 역할의 완전하고 감사 가능한 목록을 제시하고 — 각 역할을 보호하는 임계값을 설명할 수 있는 발행사는 그렇지 못한 발행사와 다른 수준의 성숙도로 운영되고 있는 것이다.
3. 운영 분리와 서명 위생
외부에서 평가하기 가장 어려운 축이지만 예측력이 가장 높다. 서명자들이 트랜잭션 파싱 기능을 갖춘 하드웨어 지갑을 사용하는가? 고액 또는 비정상적인 트랜잭션에 대한 대역 외 확인 단계가 있는가? 정해진 주기와 인원 변경 시 서명자 키가 교체되는가? 예상 패턴 외의 발행 트랜잭션에 대해 경보를 울리는 모니터링 시스템이 있는가? 발행사들은 일반적으로 이런 세부 사항을 공개하지 않지만, SOC 2 보고서, ISO 27001 인증, 규제 신청서의 내용이 간접적인 증거를 제공한다.
4. 준비금-공급량 대조 주기
발행 함수가 탈취되더라도 충분히 빠른 감지-대응 루프는 피해를 제한한다. 준비금 증명이 온체인 공급량과 지속적으로 또는 거의 실시간으로 대조된다면, 예상치 못한 공급 팽창을 몇 분 내에 감지할 수 있다. 대조가 월 단위라면 공격자에게 수 주간의 여유가 주어진다. 이 대조의 주기와 자동화 수준은 현재 스테이블코인 품질 평가에서 과소평가되고 있다고 생각한다.
담보 품질에서는 높은 점수를 받지만 이 네 가지 축에서 낮은 점수를 받는 스테이블코인이 정확히 StablR 같은 사건을 만들어내는 프로필이다. 담보와 네 가지 운영 축 모두에서 높은 점수를 받는 스테이블코인은 발행사 규모와 무관하게 구조적으로 더 방어적이다.
시사점과 주목할 점
StablR 사건은 지난 사이클의 주요 스테이블코인 실패들에 비해 달러 규모로는 작으며, 각주로 처리하고 싶은 유혹이 있다. 그것은 잘못된 독해라고 생각한다. 이번 익스플로잇은 유럽 스테이블코인 규제 하에 운영되는 라이선스를 받은 실제 발행사를 대상으로, “완전 담보” 아래에 깔린 운영 레이어가 기저 준비금에 아무런 변화 없이도 즉각적인 디페깅을 만들어내는 방식으로 실패할 수 있음을 입증했다. 주요 관할권 전반에 걸쳐 시행되고 있는 규제 체계들 — 유럽의 MiCA, 다양한 미국 안들 — 은 준비금 구성, 감사, 상환 권리에 크게 집중한다. 발행 인프라 자체에 대한 운영 보안 요건은 상대적으로 미흡하다.
앞으로 주목할 것들이 있다. 첫째는 StablR이 구체적인 실패 양식을 특정하는 상세한 기술적 포스트모텀을 공개하는가이다. 더 넓은 스테이블코인 섹터의 신뢰성은 이런 사건들이 DeFi 프로토콜의 스마트 컨트랙트 익스플로잇처럼 공개적으로 해부되느냐에 달려 있다. 포스트모텀이 불투명하거나 없다면 다른 발행사들이 얻을 수 있는 교훈이 줄어든다.
둘째는 규제 당국이 준비금에 적용하는 것과 같은 구체성으로 스테이블코인 체계에 운영 보안 요건을 도입하는가이다. 의미 있는 체계라면 멀티시그 임계값과 서명자 범주 공개, 권한 역할 목록, 독립적인 운영 감사 증거, 사고 대응 기준을 요구할 것이다. 이러한 것들은 현재 체계에 준비금 요건과 비견할 수 있는 세부 수준으로 존재하지 않는다.
셋째, 보다 추측적인 것은 시장이 스테이블코인 선택에 운영 리스크를 가격에 반영하기 시작하는가이다. 현재 스테이블코인 간 선택은 유동성, 규제 지위, 수익률(신규 이자부 변형의 경우)이 지배한다. 운영 보안은 암묵적으로 적절하다고 가정되거나 평판에 묵시적으로 반영된다. 운영 보안이 입증 가능하게 성숙한 발행사와 그렇지 않은 발행사를 가격이나 통합 선택으로 구별하는 시장은 올바른 유인 경사를 만들 것이다. 우리는 아직 거기에 있지 않다.
불편한 미해결 질문은 다른 발행사들 중 얼마나 많은 곳이 유사한 압박 하에 실패할 설정을 갖고 있는가이다. 솔직한 답은 그들 발행사 외부의 누구도 모르며, 많은 경우 발행사 스스로도 자체 설정을 충분히 엄밀하게 감사하지 않았을 수 있다는 것이다. StablR 익스플로잇이 이 유형의 마지막 사건이 될 가능성은 낮다. 포스트모텀이 정직하고 대응이 구조적이라면, 가장 유용한 사례 중 하나가 될 수도 있다.
はじめに
ステーブルコインを評価する軸は通常二つある。準備金の質と、償還保証の信頼性だ。どちらの軸も、あまり問われることのない第三の前提に依拠している――発行者の鋳造キーは、発行者以外の誰にも、裏付けのある発行以外のいかなる目的にも使用できないという前提だ。StablRインシデントは、この第三の軸がいかに重要かを改めて示した。攻撃者はマルチシグの設定ミスを突き、裏付けのないEURRおよびUSDRトークンを約1,350万ドル分不正鋳造し、それをオンチェーンの流動性に流し込んで売り抜けた。「完全裏付け」という言葉の実質は、この第三の軸がほぼ担っているのだということを、このインシデントは突きつけている。
EURRとUSDRは、オランダを拠点としヨーロッパのライセンスのもとで運営するStablRが発行する、ユーロ建ておよびドル建てのステーブルコインだ。絶対的な規模でいえば小さく、USDTやUSDCと比較すれば誤差の範囲に過ぎない。しかしそのアーキテクチャは、流通するあらゆるフィアット担保型ステーブルコインと構造的に同じだ――許可制のミント機能、準備金を保管するカストディアン、そして誰がミントを呼び出せるかを管理するガバナンスレイヤー。そのガバナンスレイヤーが崩れれば、準備金がいかに健全であろうと、残りのすべてが崩れる。
この事後分析では、エクスプロイトについて公に明らかになっていることを整理し、USDRを一時0.40ドル付近まで押し下げたオンチェーンの売りの流れを追い、このインシデントをステーブルコインのカストディリスクに関するケーススタディとして検討する。StablRそのものより、本稿が注目するのは、このイベントが明らかにしたリスクカテゴリーだ。多くの発行者の開示においてスコープ外として扱われてきたリスクである。マルチシグウォレットは今や、ステーブルコインの発行、ブリッジのカストディ、トレジャリー管理において、暗号資産全体のデフォルトのコントロール手段となっている。このデフォルト設計に埋め込まれた前提――署名者の衛生管理、閾値の選定、運用上の分離――は、現状よりはるかに厳しく問われるべきだ。
許可制ミントが単一障害点になるまで
フィアット担保型ステーブルコインは、仕組みとしては極めて単純なコントラクトだ。mint(address, amount) 関数と対になる burn 関数を持つトークンがある。mint へのアクセスは一つまたは複数の特権アドレスに限定されており、通常は発行者が管理するマルチシグウォレットがそれにあたる。一トークン=一単位のフィアットという経済的保証はオフチェーンに完全に存在し、カストディアンの準備金口座にある。オンチェーンのコントラクトは裏付けについて何も強制しない。ミント関数は、認可された署名者セットがそうすべきと判断すれば、常にトークンを発行する。
この設計は意図的なものだ。発行者は、入金された電信送金に対してミントし、償還に対してバーンし、コントラクトを書き直すことなく供給量を調整できる柔軟性を必要としている。代替案――継続的に更新されるオラクルを通じてオンチェーンで強制される準備金証明――は研究段階や一部の新しい設計には存在するが、ライセンスを受けたフィアット担保型ステーブルコインの主要な本番モデルは依然として特権ミントのままだ。主要なドルステーブルコイン(USDT、USDC、USDP、PYUSD)はすべてこの方式で動いている。EURRも同様だ。
その結果として、ミント機能を制御するマルチシグは、発行者の運用セキュリティの中で最も重要な要素となる。署名権限の設定が誤っていれば、コントラクトは(今や侵害された)署名者セットが要求することを忠実に実行してしまう。その瞬間、準備金口座は無関係だ――オンチェーンのトークン供給はすでに増加しており、流動性ベニューを経由できる保有者であれば誰でも、市場がステーブルコインを再評価する前に、新たに鋳造された裏付けなしのトークンを他の資産に転換できる。
マルチシグがデフォルトになった理由と、それが覆い隠すもの
マルチシグウォレット――最も一般的にはSafe(旧Gnosis Safe)のデプロイ――がDeFiのデフォルトのカストディプリミティブになったのは、正当な理由がある。単一キーによるカストディをなくし、閾値スキーム(M-of-Nの承認)をサポートし、どの署名者が何を承認したかの透明なオンチェーン記録を提供する。発行者にとって、3-of-5や4-of-7のマルチシグは基本的な運用セキュリティを満たすように見える。単一の従業員がミントを実行できず、署名者を地理的に分散させることができ、一人の署名者のキーが侵害されても回復可能だ。
しかしマルチシグという抽象化が覆い隠しがちなのは、その下にある運用の実態だ。閾値の強度は、攻撃者が同時に侵害できる最も弱い署名者の組み合わせによって決まる。署名者がロールを越えてハードウェアウォレットを使い回したり、インフラを共有したり、フロントエンドを通じて盲目的に署名したりしていれば、あるいは――最も危険なのは――署名者セットや閾値が単一の署名者か、より保護の低い管理者ロールによって変更可能であれば、M-of-Nの保証は実質的にはるかに小さな有効閾値に崩れ落ちる。入手可能な公開情報に基づく限り、StablRインシデントは最後のカテゴリーに該当するように見える。複数署名者をブルートフォースで侵害したのではなく、攻撃者が名目上の閾値を満たすことなくミント関数に到達できるという設定上の欠陥だ。
エクスプロイトの再構成
StablRインシデントについての公開報告からは、いくつかの重要な事実が確認できる。攻撃者はEURRおよびUSDRの両コントラクトに対してミント関数を呼び出す能力を得て、それを使い約1,350万ドル分の裏付けなしトークンを生成した。新たに鋳造された供給はオンチェーンの流動性ベニューに流され売却され、流動性が枯渇して対象プールでの取引が事実上停止するまで、USDRはドルペッグに対して約0.40ドル付近まで下落した。EURRも同様に、やや穏やかながらも乖離を経験した。
公開記録が支持することと支持しないことについては慎重に区別したい。直後の時点では、正確なメカニズム――署名者のキーが侵害されたのか、マルチシグ外の管理者ロールが悪用されたのか、コントラクトのアップグレードパスが乱用されたのか、それとも誤って設定されたSafeモジュールが閾値の迂回を可能にしたのか――については発行者から確定的な開示がなされていない。明確なのは、失敗がアクセスコントロールのレイヤーにあり、準備金のレイヤーにはなかったということだ。公式に述べられている限りでは準備金は無傷だった。コントラクトが単に、対応する準備金が存在しないトークンを鋳造したのだ。
入手可能な証拠から見た攻撃の形
このプロファイルのマルチシグエクスプロイトにはいくつかのパターンが繰り返し登場する。法医学的な再構成においては、確認されたメカニズムとしてではなく、候補として検討する必要がある。
- モジュールの設定ミス。 Safeウォレットはモジュール――通常の署名者閾値を経ずにSafeの代わりにトランザクションを実行できる補助コントラクト――をサポートしている。運用目的でインストールされたモジュール(例えば、証明された入金に対する自動ミントなど)がミント関数への代替経路になる。そのモジュール自体のアクセスコントロールが親マルチシグより弱ければ、それが実質的な閾値になる。
- 放置された、または過剰な権限を持つ署名者。 署名者セットからキーを外すことなく去った元従業員、外部委託者、または統合パートナー。名目上の4-of-7が「4-of-7で1人が攻撃者管理」になれば、閾値に達することの難しさは根本的に変わる。
- オーナー変更エクスプロイト。 フルの閾値承認を必要としないパスを通じて、署名者セットや閾値自体を変更できるバグまたは設定ミス。攻撃者が自分のアドレスを署名者として追加するか閾値を1に下げることができれば、その後のすべての行為がオンチェーンでは正当に見える。
- フィッシングまたは署名フロントエンドの侵害。 署名者は人間が読めるサマリーを表示するインターフェースを通じてトランザクションを承認する。インターフェースが侵害されるか、トランザクションデータが真の効果を隠すよう細工されていれば、署名者たちは通常業務を承認していると思いながら、悪意のある行為――最も一般的にはコントラクトのアップグレードや管理者移転――を集合的に承認してしまう。
StablRからの確定的な事後分析がない以上、これらのいずれかにインシデントを帰属させるのは推測に過ぎない。しかし失敗のカテゴリーは一貫している。複数の独立した承認を必要とすると想定されていたコントロール手段が、より少ない手順で到達可能だったということだ。
オンチェーンの売りとデペッグのメカニズム
裏付けなしのトークンを鋳造することは、この種のエクスプロイトの半分に過ぎない。残り半分は、市場が気づく前に換金することだ。ステーブルコインは主に、Uniswap v3、Curve、および類似のベニューの集中流動性プールで、他のステーブルコインまたはETHと取引される。これらのプール、特にUSDRやEURRのような小規模発行者のステーブルコインの流動性は、単一のトランザクションで鋳造できる供給量に対して薄い。
この種のデペッグ・シーケンスは予測可能な弧を描く。攻撃者は自分のアドレスにミントし、ルーターを承認し、最も流動性の深いプールに対してスワップを実行する――通常はUSDR/USDCまたはEURR/USDCのペアで、場合によってはより深い流動性にアクセスするためにETHの中間レッグを経由する。初期のスワップはペッグに近い水準で執行される。プールのUSDRまたはEURR側が攻撃者のトークンで満たされ、USDC側が枯渇するにつれ、カーブの再評価が加速する。裏付けなしトークンの後続の各単位から得られるハードステーブルコインの量は減っていく。攻撃者は二つの時計と競争している――アービトラージャーや発行者が異常を検知するまでの時間と、スリッページにより追加の抽出が割に合わなくなるほどプールの流動性が枯渇するまでの時間だ。
USDRの報告された安値である約0.40ドルは、このパターンと一致している。ステーブルコインプールにおけるペッグからの約60%の下落は、売り規模に対して流動性が極めて薄いか、異常を検知した他の流動性プロバイダーによるカスケード的な引き出し、あるいはその両方を意味する。ステーブルコインプールの流動性プロバイダーは、この種のイベントに対して特に脆弱だ。デペッグを認識して引き出しを試みる頃には、ポジションがデペッグしている資産にリバランスされており、出口で損失が確定する。
実際に損失を被るのは誰か
マルチシグ・ミントエクスプロイトの損失の所在は明確にする価値がある。損失が直観的でない形で分散されているからだ。
- 流動性プロバイダーがUSDRおよびEURRプールで直接損失を吸収する。USDC またはETH建てで参入したポジションは、攻撃者のスワップに伴いデペッグしているステーブルコインにリバランスされる。裏付けなしのトークンを抱えて退場することになる。
- 二次保有者――エクスプロイト前にEURRまたはUSDRを取得した者――は、原則として発行者の準備金に対するプロラタの請求権は変わっていないにもかかわらず、保有資産の市場価値が下落するのを目にする。発行者が正当な保有者に額面通りの償還に応じるなら、この損失は時間とともに部分的または完全に回復するかもしれない。しかし発行者が正当な保有者を攻撃者由来の保有者から区別できない場合、あるいは膨張した供給をカバーするのに準備金が不足する場合には、損失は確定する。
- 攻撃者はスワップの収益を手にする――主にUSDC、ETH、または最も流動性の深かったカウンター資産――であり、ミキサー、ブリッジ、またはDEXアグリゲーターを通じてロンダリングできる。これらの資金の回収は、取引所とプロトコルの協力の速度に依存する。
- 発行者は評判上の資本を失い、最悪の場合、膨張した供給に対して償還に応じることを選択すれば準備金不足に直面する。
準備金自体は通常手つかずだ。これがこの失敗モードの残酷な非対称性だ。発行者は完全にクリーンで、十分に証明された、分別管理された準備金を持ちながら、デペッグイベントを引き起こすことができる。なぜならデペッグは、準備金が対応することを想定していなかったオンチェーンの供給拡大によって引き起こされるからだ。
ステーブルコイン発行者のカストディアーキテクチャの比較
より広い市場にとって関連する問いは「StablRは失敗したのか」――失敗した――ではなく、「実際に人々が依存している発行者全体にわたる、類似した失敗モードの分布はどうなっているのか」だ。完全な比較には、ほとんどの発行者がしていない開示が必要だが、おおよその輪郭はオンチェーンの調査と公開ドキュメントから見えてくる。
主要なドル発行者
Tether(USDT) は歴史的に運用セキュリティアーキテクチャについて不透明だった。USDTのミントおよびバーン操作はTetherが管理するトレジャリーアドレスから実行されるが、署名の取り決めの詳細は公開されていない。USDTの供給規模は、単一のミントイベントは、たとえ大規模であっても流通供給量に対して小さいことを意味し、単一のエクスプロイトによるデペッグへの影響を限定する――しかし中央集権的なコントロールポイントは、小規模発行者と同程度かそれ以上に集中している。
Circle(USDC) はより公開された構造で運営している。USDCのコントラクトには masterMinter ロールがあり、他のアドレスが指定された上限までミントすることを認可する仕組みで、マスターミンター自体はマルチシグによって管理されている。Circleは規制申請や監査において運用セキュリティの詳細を公開している。そのアーキテクチャは形として明らかにStablRと類似している――マルチシグにゲートされた特権ロール――であり、原則として同じカテゴリーのリスクにさらされているが、Circleの運用慣行の成熟度によって緩和されている。
Paxos(USDP、PYUSD) はニューヨーク州のトラストチャーターのもと、運用管理に対する規制監督を受けて運営している。技術的なアーキテクチャは特権ミントモデルのままだ。
構造的な共通点
これらの発行者全体にわたり、アーキテクチャのパターンは同じだ。オンチェーンの特権ロールがマルチシグウォレットによって管理され、オフチェーンの準備金移動に対してミントおよびバーン操作を実行する。違いは運用の成熟度にある――署名者の選定、ハードウェアウォレットの実践、キーローテーションの頻度、トランザクション署名の衛生管理、モジュール設定、監視――そのどれも、外部のアナリストには厳密な意味では見えない。
これが不快な結論だ。ドルステーブルコインセクターは全体として、StablRで顕在化したのと同じクラスのリスクにさらされている。より大規模な発行者でそれが顕在化していない理由は、より優れた運用慣行、より高い価値によって引き寄せられるより多くの攻撃者の注目(これは諸刃の剣だ)、そして運という三つの組み合わせだ。これらはいずれも保証ではない。
代替アーキテクチャ
少数の設計は特権ミントへの依存を低減している。アルゴリズム型ステーブルコイン(それ自体によく記録された失敗モードを持つ)や、DAIのような過剰担保型の暗号資産担保ステーブルコインは、発行者ミントを担保預入ロジックに置き換え、それをオンチェーンで強制する。侵害すべきマルチシグミントに相当するものが存在しない。より新しい設計では、オラクルネットワークを通じたオンチェーンでの準備金証明を実験している。原則として、証明された準備金を超えるミントをコントラクトが拒否することを可能にするが、これらの設計はそれ自体のオラクル信頼の前提を導入しており、本番環境では特権ミントモデルに取って代わっていない。
ステーブルコインのカストディリスクを評価するフレームワーク
特権ミントモデルが当面の本番の現実であることを受け入れるなら、問いはそれを囲む運用セキュリティをどう評価するかになる。フィアット担保型ステーブルコインを評価する際にアナリストや資金配分者が適用すべき、四つの軸を提案する。
1. 閾値と署名者の構成
基本的な問い:NのうちMは何か、そしてNは誰か。4-of-7のマルチシグは2-of-3とは意味のある違いがあり、どちらも、一人の署名者が自動化システムに管理されたホットキーである3-of-5とは異なる。署名者のアイデンティティの公開開示はまれであり、セキュリティ上の理由から望ましくないかもしれないが、署名者のカテゴリー――独立した取締役会メンバー、経営幹部、セキュリティチーム、外部カストディアン――の開示は合理的に期待できる。閾値とカテゴリーの内訳さえ開示しようとしない発行者は、信頼が明白に失敗したまさにその次元で、信頼を求めているのだ。
2. モジュールと管理者ロールのインベントリ
メインのマルチシグの外に、トークンコントラクトへの特権アクセスを持つアドレスやコントラクトは何か。アップグレード管理者、一時停止機能、ブラックリスト機能、緊急ミンター、または運用上の便宜のためにインストールされたSafeモジュールはすべて、追加的な攻撃対象になる。これらのロールの完全な監査可能なインベントリを提示でき、それぞれを保護する閾値を説明できる発行者は、それができない発行者とは異なる成熟度レベルで運営している。
3. 運用上の分離と署名の衛生管理
これは外部から評価するのが最も難しいが、最も予測力のある軸だ。署名者はトランザクションパーシング機能付きのハードウェアウォレットを使用しているか。高額または異例のトランザクションにアウトオブバンドの確認ステップはあるか。定義されたサイクルで、また人員変更時にキーはローテーションされているか。期待されるパターン外のミントトランザクションをアラートする監視システムはあるか。発行者は通常こうした詳細を公表しないが、SOC 2報告書、ISO 27001認証、規制申請の内容が間接的な証拠を提供する。
4. 準備金と供給量の照合頻度
たとえミント関数が侵害されても、検知と対応のループが十分に速ければ被害は限定される。準備金の証明がオンチェーン供給量と継続的または準継続的に照合されていれば、予期しない供給拡大は数分以内に検知可能だ。照合が月次であれば、攻撃者には数週間の猶予がある。この照合の頻度と自動化は、現在のステーブルコイン品質評価において過小評価されていると思う。
裏付けの質では高得点でもこれら四つの軸で低得点のステーブルコインは、StablR型のイベントを生み出すまさにそのプロファイルだ。五つすべて――裏付けプラス四つの運用軸――で高得点のステーブルコインは、発行者の規模にかかわらず、構造的により防御力が高い。
示唆と今後の注目点
StablRインシデントはドル規模においては前サイクルの主要なステーブルコイン失敗例と比べて小さく、脚注として処理してしまいたいという誘惑がある。しかしそれは間違った読み方だと思う。このエクスプロイトは、ヨーロッパのステーブルコイン規制のもとで運営する実際のライセンス済み発行者に対して、「完全裏付け」という言葉の下に潜む運用レイヤーが、基盤となる準備金に何ら変化がなくても瞬時のデペッグをもたらす形で失敗しうることを実証した。主要な法域で施行されつつある規制フレームワーク――ヨーロッパのMiCAや各種の米国の提案――は、準備金の構成、監査、償還権に重点を置いている。発行インフラ自体の運用セキュリティ要件については比較的手薄だ。
ここから注目すべきことがいくつかある。第一は、StablRが具体的な失敗モードを特定した詳細な技術的事後分析を公開するかどうかだ。ステーブルコインセクター全体の信頼性は、このようなインシデントがDeFiプロトコルのスマートコントラクトエクスプロイト同様に公開で解剖されることにかかっている。事後分析が不透明だったり存在しなければ、他の発行者が得られる教訓は薄まる。
第二は、規制当局が準備金要件に適用するのと同じ詳細度で、ステーブルコインフレームワークに運用セキュリティ要件を組み込むかどうかだ。意味のある制度であれば、マルチシグの閾値と署名者カテゴリーの開示、特権ロールのインベントリ、独立した運用監査の証拠、インシデント対応基準を要求するだろう。これらはいずれも、現在のフレームワークには準備金要件に匹敵する詳細度では存在しない。
第三は、より投機的だが、市場がステーブルコインの選択に運用リスクを織り込み始めるかどうかだ。現時点では、ステーブルコインの選択は流動性、規制上の地位、そして(新しい利付きの変種の場合には)利回りによって支配されている。運用セキュリティは暗黙のうちに十分と見なされるか、評判に織り込まれている。実証的に成熟した運用セキュリティを持つ発行者とそうでない発行者を、価格や統合の選択において区別する市場は、正しいインセンティブの勾配を生み出すだろう。我々はまだそこにいない。
不快な未解決の問いは、他のいくつの発行者が、同様の圧力のもとで失敗するような設定を持っているかだ。正直な答えは、それらの発行者の外部の誰も知らないということであり、多くの場合、発行者自身さえ自らの設定を十分に厳密に監査していないかもしれないということだ。StablRのエクスプロイトがこの種の最後になる可能性は低い。しかし事後分析が誠実で、対応が構造的なものであれば、最も有益なものの一つになるかもしれない。
引言
稳定币的评估通常围绕两个维度展开:储备质量与赎回保障的可信度。这两个维度都默认了第三个几乎从未被认真审视的属性——发行方的铸币密钥,只能由发行方本人使用,且只能用于有储备支撑的铸币操作。StablR 事件是对这一假设的当头棒喝:攻击者利用多签配置漏洞,在将代币砸入链上流动性池之前,铸造了约 1350 万美元的无储备支撑的 EURR 和 USDR 代币。这一事件提醒我们,“足额储备”这个说法,其重量几乎全压在那个鲜少被追问的第三维度上。
EURR 和 USDR 是由荷兰持牌发行商 StablR 发行的欧元和美元计价稳定币。以绝对规模而言,它们不过是 USDT 或 USDC 面前的零头——但其架构与市面上每一种法币背书稳定币在结构上如出一辙:受权限控制的铸币函数、持有储备的托管方,以及掌控铸币调用权限的治理层。一旦治理层失守,整个构架随之崩塌,无论储备本身有多干净。
本文将尽可能还原这次漏洞利用的公开信息,追溯导致 USDR 短暂跌至约 0.40 美元的链上砸盘过程,并以此事件为案例,深入探讨稳定币托管风险。我们的关注点并非 StablR 本身,而是此事件所揭示的一类风险——在大多数发行商的信息披露中,这类风险往往被视为超出讨论范围。多签钱包已成为稳定币发行、桥资产托管和国库管理的默认控制界面。这一默认选择背后所隐含的假设——关于签名者的安全习惯、阈值设定与操作隔离——理应得到远比现状更为严苛的审视。
受权限控制的铸币如何成为单点故障
从机制上看,法币背书的稳定币是一种极为简单的合约。它包含一个带有 mint(address, amount) 函数的代币,以及对应的 burn 函数。mint 的调用权限被限制在一个或多个特权地址上——通常是发行方控制的多签钱包。“一枚代币等于一单位法币”的经济保证完全存在于链下,体现在托管方的储备账户里;链上合约对储备本身不作任何约束。只要获授权的签名者集合指令铸币,铸币函数便会照单全收。
这一设计是经过深思熟虑的。发行商需要灵活地针对到账电汇进行铸币、针对赎回进行销毁,并在不重写合约的前提下调整供应量。另一种方案——通过持续更新的预言机在链上强制执行储备证明——在学术研究和少数新兴设计中有所尝试,但对于持牌法币背书稳定币而言,主流的生产模式仍是特权铸币。每一种主要的美元稳定币(USDT、USDC、USDP、PYUSD)都采用这种方式,EURR 亦不例外。
这带来的结果是:控制铸币函数的多签钱包,成为发行商运营安全中最为关键的环节。一旦签名权限配置出错,合约便会忠实执行(现已被攻陷的)签名者集合的任何指令。储备账户在那一刻无关紧要——链上代币供应量已经增加,任何能够接入流动性场所的持币人,都可以在市场重新为该稳定币定价之前,将新铸的无储备代币兑换成其他资产。
多签为何成为默认选择,又遮盖了什么
多签钱包——最常见的是 Safe(前身为 Gnosis Safe)部署——成为 DeFi 的默认托管原语,有其充分的理由。它消除了单密钥托管,支持阈值方案(M-of-N 批准),并在链上提供透明的签名者批准记录。对于发行商而言,一个 3-of-5 或 4-of-7 的多签看似满足了基本的运营安全要求:没有单个员工能够独自铸币,签名者可以分散在不同地理位置,任何单一签名者的密钥泄露都是可恢复的。
然而,多签抽象层往往遮盖了其背后的运营现实。阈值的安全强度,取决于攻击者能够同时攻破的最弱签名者组合。如果签名者跨角色复用硬件钱包、共享基础设施、通过前端盲目签名,或者——最为危险的情况——签名者集合或阈值本身可以由单个签名者或保护力度较弱的管理员角色修改,那么 M-of-N 的保证便会坍塌为远小于此的实际阈值。就目前的公开信息来看,StablR 事件似乎属于最后一类:并非对多个签名者的暴力破解,而是一个配置缺陷,让攻击者在不满足名义阈值的情况下就触及了铸币函数。
还原漏洞利用过程
关于 StablR 事件,公开报道确立了若干关键事实。攻击者获得了对 EURR 和 USDR 合约铸币函数的调用能力,并借此铸造了约 1350 万美元的无储备代币。随后,这批新铸代币被路由至链上流动性场所并抛售,USDR 相对于美元锚定汇率一度跌至约 0.40 美元,此后相关资金池流动性耗尽,实际交易陷入停滞。EURR 也经历了类似但程度相对较轻的价格偏离。
我们需要审慎区分公开记录所能支撑的结论与其所不能支撑的结论。截至事件发生后的即时阶段,确切的攻击机制——究竟是签名者密钥被盗、多签之外的管理员角色遭到利用、合约升级路径被滥用,还是错误配置的 Safe 模块绕过了阈值——发行商尚未作出明确披露。可以确定的是,故障发生在访问控制层,而非储备层。就公开表述而言,储备是完好的;合约只是铸造了没有任何储备与之对应的代币。
基于现有证据的攻击形态分析
在此类多签漏洞利用中,有若干模式反复出现。任何法证重建都必须将它们作为候选路径,而非已确认的机制加以考量:
- 模块配置错误。 Safe 钱包支持模块——即可以代表 Safe 执行交易、无需经过正常签名阈值的辅助合约。出于运营目的安装的模块(例如针对已证实存款自动铸币)会形成一条通往铸币函数的替代路径。如果该模块自身的访问控制比父级多签更弱,它便成为实际意义上的阈值。
- 孤立或过度特权的签名者。 某位前员工、承包商或集成合作伙伴的签名密钥从未从签名者集合中轮换出去。名义上的 4-of-7 变成了”4-of-7-含一个攻击者控制的签名者”,这从根本上改变了达到阈值所需的攻击难度。
- 所有者变更漏洞利用。 一个漏洞或错误配置,允许通过某条无需获得完整阈值批准的路径来修改签名者集合或阈值本身。一旦攻击者能够将自己的地址添加为签名者或将阈值降至 1,此后的所有操作在链上看来都完全合法。
- 钓鱼攻击或签名前端被攻陷。 签名者通过显示人类可读摘要的界面批准交易。如果界面遭到入侵,或交易数据经过精心构造以掩盖其真实意图,签名者可能在集体批准一个恶意操作(最常见的是合约升级或管理员权限转移)的同时,误以为自己在批准常规操作。
在 StablR 发布明确的事后分析之前,将此次事件归因于上述任何一种机制都属推测。然而,故障的类别是一致的:一个被假定需要多个独立批准的控制界面,事实上可以以更少的条件触及。
链上砸盘与脱锚机制
铸造无储备代币,只是此类漏洞利用的前半段。后半段是在市场察觉之前将其变现。稳定币的交易主要发生在 Uniswap v3、Curve 及类似平台上,以集中流动性池的形式与其他稳定币或 ETH 配对。这些资金池的流动性——尤其是 USDR、EURR 这类小型发行商稳定币的流动性——相对于单笔交易可铸造的供应量而言极为有限。
此类事件中的脱锚序列遵循可预测的弧线。攻击者将代币铸造至自己的地址,授权路由器,并对可用的最深流动性池执行兑换——通常是 USDR/USDC 或 EURR/USDC 交易对,可能会通过中间 ETH 腿位路由以获取更深的流动性。早期的兑换操作以接近锚定价格执行。随着资金池中 USDR 或 EURR 一侧被攻击者的代币填满、USDC 一侧不断耗尽,曲线重定价加速:每一后续单位的无储备代币所能提取的硬稳定币越来越少。攻击者在与两个时钟赛跑——套利者和发行方检测到异常之前的时间,以及资金池流动性耗尽到进一步提取已不值得滑点代价之前的时间。
USDR 约 0.40 美元的报告低点与这一模式相符。稳定币资金池中从锚定价格下跌约 60%,意味着相对于砸盘规模流动性极度匮乏、其他流动性提供者检测到异常后的级联撤资,或两者兼而有之。稳定币资金池中的流动性提供者对此类事件尤为脆弱:当他们意识到脱锚并试图撤资时,其头寸已被再平衡为正在脱锚的资产,退出即意味着损失落袋为实。
谁是真正的损失承担者
对多签铸币漏洞利用的损失核算有必要精确分析,因为损失的分布方式并不直观:
- USDR 和 EURR 资金池中的流动性提供者直接承担损失。他们入场时以 USDC 或 ETH 计价的头寸,随着攻击者的兑换而被再平衡为正在脱锚的稳定币。最终他们持有的是无储备支撑的代币。
- 在漏洞发生之前持有 EURR 或 USDR 的二级持有者,眼见持仓市值下跌,尽管从原则上讲,他们对发行商储备的按比例索偿权可能并未改变。若发行商以面值为合法持有者兑付,这部分损失随时间推移可能部分或全部得到补偿;但若发行商无法区分合法持有者与来源于攻击者的持有者,或储备不足以覆盖膨胀后的供应量,损失便会最终坐实。
- 攻击者持有兑换所得——主要是 USDC、ETH 或其他流动性最深的对手资产——这些资金可通过混币器、桥或 DEX 聚合器进行洗钱。资金追回取决于交易所和协议合作的速度。
- 发行商损失声誉资本,在最坏的情况下,若选择按膨胀后的供应量履行赎回义务,还将面临储备缺口。
储备本身通常不受影响。这正是这一失败模式的残酷之处:发行商可以拥有完全干净、经过充分证明、妥善隔离的储备,却仍能引发脱锚事件——因为脱锚是由链上供应量扩张驱动的,而储备从未预期覆盖这部分增量。
稳定币发行商托管架构横向比较
对于更广泛的市场而言,相关问题不在于”StablR 是否失败了”——他们确实失败了——而在于”类似失败模式在人们实际依赖的发行商中的分布情况如何”。完整的比较需要大多数发行商并未披露的信息,但从链上检查和公开文档中,粗略轮廓已隐约可见。
主要美元稳定币发行商
**Tether(USDT)**历来对其运营安全架构讳莫如深。USDT 的铸造和销毁操作由 Tether 控制的国库地址执行,签名安排的具体细节从未对外公开。USDT 供应量的庞大规模意味着,即便单笔铸币事件的规模可观,相对于流通供应量仍属九牛一毛,这在一定程度上限制了单次漏洞利用对脱锚的冲击——但其中央控制节点的集中程度,与小型发行商相比并无本质区别。
**Circle(USDC)**运营结构相对透明。USDC 合约设有 masterMinter 角色,负责授权其他地址在指定限额内铸币,而主铸造者本身由多签钱包控制。Circle 在监管备案和审计报告中披露了运营安全细节。其架构在形态上与 StablR 高度相似——一个受多签保护的特权角色——原则上面临同一类风险,只是通过 Circle 更为成熟的运营实践加以缓解。
**Paxos(USDP、PYUSD)**在纽约信托章程下运营,运营控制受到监管机构监督。其技术架构仍采用特权铸币模式。
结构性共同点
纵观上述发行商,架构模式如出一辙:一个链上特权角色,由多签钱包控制,根据链下储备变动执行铸币和销毁操作。差异体现在运营成熟度上——签名者筛选、硬件钱包使用规范、密钥轮换频率、交易签名安全习惯、模块配置、监控机制——而这些对外部分析师而言均缺乏任何严格意义上的可见性。
这是一个令人不安的结论:美元稳定币行业整体上暴露于与 StablR 相同类别的风险之中。它在大型发行商身上尚未发生,是更好运营实践、更高价值所吸引的更强攻击者关注(这本身是一把双刃剑)以及运气共同作用的结果。这些都不是任何形式的保障。
替代架构
少数设计降低了对特权铸币的依赖。算法稳定币(有其自身有据可查的失败模式)和超额抵押加密资产支撑的稳定币(如 DAI),以链上强制执行的抵押品存入逻辑取代了发行商铸币,不存在可被攻破的多签铸币等价物。较新的设计尝试通过预言机网络在链上证明储备,理论上允许合约拒绝超出已证明储备的铸币请求——但这些设计引入了自身的预言机信任假设,且尚未在生产环境中取代特权铸币模式。
评估稳定币托管风险的框架
如果我们承认特权铸币模式在可预见的未来仍是生产现实,问题便转变为:如何评估围绕它的运营安全。我们提出四个维度,供分析师和资产配置者在评估法币背书稳定币时使用。
1. 阈值与签名者构成
基本问题:N 中的 M 是多少,N 又是哪些人。4-of-7 的多签与 2-of-3 存在实质差异,而一个其中某位签名者是由自动化系统控制的热钱包的 3-of-5,又与两者不同。出于安全考虑,公开签名者身份既罕见也可能不可取,但披露签名者类别——独立董事会成员、执行官员、安全团队、外部托管方——是合理的期待。拒绝披露哪怕是阈值和类别构成的发行商,是在要求被信任于一个信任已明显失效的维度上。
2. 模块与管理员角色清单
除核心多签之外,还有哪些地址或合约对代币合约拥有特权访问?升级管理员、暂停者、黑名单管理者、紧急铸币者,或任何出于运营便利而安装的 Safe 模块,都构成额外的攻击面。能够提供完整、可审计的上述角色清单,并说明保护每个角色所采用的阈值的发行商,其运营成熟度远高于无法做到这一点的发行商。
3. 操作隔离与签名安全习惯
这是最难从外部评估的维度,却也是预测性最强的维度。签名者是否使用具备交易解析功能的硬件钱包?对于高价值或异常交易,是否有带外确认步骤?签名者密钥是否按照既定频率轮换,并在人员变动时及时更新?是否有监控系统对超出预期模式的铸币交易发出警报?发行商通常不会公开这些细节,但 SOC 2 报告、ISO 27001 认证以及监管备案文件的内容可提供间接佐证。
4. 储备与供应量核对频率
即便铸币函数遭到攻破,足够快的检测与响应闭环也能限制损害。如果储备证明与链上供应量持续或近实时地核对,异常的供应量扩张可在数分钟内被发现。如果核对频率是每月一次,攻击者便拥有数周的掩护时间。这一核对工作的频率与自动化程度,在我们看来,在当前对稳定币质量的评估中被严重低估。
一个在储备质量上得分优秀、却在上述四个维度上得分低劣的稳定币,正是产生 StablR 式事件的风险画像。而在全部五个维度——储备加上四个运营维度——上均表现良好的稳定币,无论发行商规模大小,在结构上都更具防御性。
后续影响与值得关注的动向
以美元规模而言,StablR 事件与上一个周期的主要稳定币失败案例相比微不足道,将其归入脚注似乎轻而易举。我们认为这是错误的解读。此次漏洞利用在一家依据欧洲稳定币法规运营的持牌发行商身上证明了:“足额储备”之下的运营层,可能以一种在不触动底层储备的情况下引发即时脱锚的方式失败。正在各主要司法管辖区相继生效的监管框架——欧洲的 MiCA、美国的各类提案——高度聚焦于储备构成、审计和赎回权利,而对发行基础设施本身的运营安全要求相对轻描淡写。
有几件事值得持续关注。首先,StablR 是否会发布一份详细的技术事后分析,明确指出具体的失败机制。更广泛的稳定币行业的公信力,有赖于此类事件像 DeFi 协议智能合约漏洞那样被公开解剖。若事后分析语焉不详或付之阙如,其他发行商可汲取的教训便大打折扣。
其次,监管机构是否会以与储备要求同等的细致程度,将运营安全要求纳入稳定币框架。一个有实质意义的监管体系,应当要求披露多签阈值和签名者类别、特权角色清单、独立运营审计证据,以及事件响应标准。目前没有任何一套现行框架在这些方面达到与储备要求相当的细化程度。
第三点更具推测性:市场是否会开始将运营风险纳入稳定币的选择定价。目前,稳定币之间的选择主要由流动性、监管地位和收益率(就新兴计息稳定币而言)主导。运营安全被隐性地假定为足够充分,或被隐性地计入声誉溢价。如果市场能够通过价格或集成选择,区分具有可证明成熟运营安全的发行商与不具备这一特质的发行商,将形成正确的激励导向。但我们尚未到达那一步。
一个令人不安的开放性问题是:还有多少其他发行商拥有在类似压力下同样会失败的配置。诚实的答案是:这些发行商之外的任何人都不知道,在许多情况下,发行商自身可能也未曾足够严格地审计过自己的配置。StablR 漏洞利用事件不太可能是同类事件的最后一起。但若事后分析足够坦诚、应对措施具有结构性意义,它或许会成为其中最有价值的一起。
Introducción
Las stablecoins suelen analizarse en dos ejes: la calidad de sus reservas y la credibilidad de su garantía de redención. Ambos ejes presuponen una tercera propiedad que rara vez se examina: que la clave de emisión del emisor no puede ser usada por nadie más que por él, ni para ningún fin que no sea la emisión respaldada. El incidente de StablR, en el que un atacante aprovechó una mala configuración de multisig para acuñar aproximadamente 13,5 millones de dólares en tokens EURR y USDR sin respaldo antes de dumpearlos en la liquidez on-chain, es un recordatorio de que ese tercer eje es el que sostiene casi todo el peso de la expresión “totalmente respaldado.”
EURR y USDR son stablecoins denominadas en euros y dólares emitidas por StablR, un emisor con sede en los Países Bajos que opera bajo licencia europea. Son pequeñas en términos absolutos —un error de redondeo frente a USDT o USDC— pero su arquitectura es estructuralmente idéntica a la de cualquier stablecoin respaldada por moneda fiat en circulación: una función de mint con permisos, un custodio que mantiene las reservas y una capa de gobernanza que controla quién puede invocar el mint. Cuando esa capa de gobernanza falla, el resto de la construcción colapsa con ella, independientemente de lo limpias que sean las reservas.
Este post-mortem reconstruye lo que se conoce públicamente sobre el exploit, rastrea el dump on-chain que llevó a USDR brevemente a cerca de 0,40 dólares, y utiliza el incidente como caso de estudio sobre el riesgo de custodia en stablecoins. Nos interesa menos StablR en particular que lo que el evento revela acerca de una categoría de riesgo que la mayoría de las divulgaciones de los emisores trata como fuera de alcance. Los monederos multisig se han convertido en la superficie de control por defecto para la emisión de stablecoins, la custodia en bridges y la gestión de tesorerías en todo el ecosistema cripto. Los supuestos implícitos en ese estándar —sobre la higiene de los firmantes, la selección de umbrales y la separación operativa— merecen un escrutinio mucho mayor del que reciben.
Cómo un mint con permisos se convierte en un punto único de fallo
Una stablecoin respaldada por fiat es, mecánicamente, un contrato inteligente muy sencillo. Hay un token con una función mint(address, amount) y su contraparte burn. El acceso a mint está restringido a una o más direcciones privilegiadas —típicamente un monedero multisignatura controlado por el emisor. La garantía económica de que un token equivale a una unidad de fiat vive íntegramente fuera de la cadena, en la cuenta de reservas del custodio; el contrato on-chain no hace cumplir nada sobre el respaldo. La función de mint producirá tokens siempre que el conjunto de firmantes autorizados así lo indique.
Este diseño es intencional. Los emisores necesitan flexibilidad para acuñar contra transferencias bancarias entrantes, quemar contra redenciones y ajustar la oferta sin reescribir el contrato. La alternativa —prueba de reservas aplicada on-chain mediante un oráculo actualizado de forma continua— existe en la investigación y en algunos diseños más recientes, pero el modelo de producción dominante para stablecoins con licencia respaldadas por fiat sigue siendo el mint privilegiado. Todas las principales stablecoins en dólares (USDT, USDC, USDP, PYUSD) funcionan de esta manera. EURR también.
La consecuencia es que el multisig que controla la función de mint es la pieza más crítica de la seguridad operativa del emisor. Si la autorización de firma está mal configurada, el contrato ejecutará fielmente lo que el conjunto de firmantes (ahora comprometido) le pida. La cuenta de reservas es irrelevante en ese momento: la oferta on-chain de tokens ya ha aumentado, y cualquier titular que pueda enrutar a través de un venue de liquidez puede convertir los tokens recién acuñados y sin respaldo en otros activos antes de que el mercado reprecie la stablecoin.
Por qué el multisig es el estándar y qué problemas enmascara
Los monederos multisig —más comúnmente despliegues de Safe (antes Gnosis Safe)— se convirtieron en el primitivo de custodia por defecto en DeFi por buenas razones. Eliminan la custodia de clave única, admiten esquemas de umbral (aprobaciones M-de-N) y proporcionan un registro on-chain transparente de qué firmantes aprobaron qué. Para un emisor, un multisig 3-de-5 o 4-de-7 parece satisfacer una seguridad operativa básica: ningún empleado puede acuñar en solitario, los firmantes pueden estar distribuidos geográficamente, y el compromiso de la clave de cualquier firmante individual es recuperable.
Lo que la abstracción del multisig tiende a enmascarar es la realidad operativa subyacente. El umbral solo es tan robusto como la combinación más débil de firmantes que un atacante pueda comprometer simultáneamente. Si los firmantes reutilizan hardware wallets en diferentes roles, comparten infraestructura, firman ciegamente a través de frontends o —lo más peligroso— si el conjunto de firmantes o el umbral puede ser alterado por un solo firmante o por un rol de administrador menos protegido, la garantía M-de-N colapsa hasta un umbral efectivo mucho menor. El incidente de StablR, según la información pública disponible, parece encajar en esta última categoría: no un compromiso de fuerza bruta de múltiples firmantes, sino un fallo de configuración que permitió a un atacante alcanzar la función de mint sin satisfacer el umbral nominal.
Reconstrucción del exploit
Los reportes públicos sobre el incidente de StablR establecen algunos hechos fundamentales. Un atacante obtuvo la capacidad de invocar la función de mint en los contratos de EURR y USDR, y la utilizó para producir aproximadamente 13,5 millones de dólares en tokens sin respaldo. La oferta recién acuñada fue enrutada hacia venues de liquidez on-chain y vendida, con USDR llegando a cotizar tan bajo como 0,40 dólares respecto a su paridad con el dólar antes de que la liquidez se agotara y las operaciones se detuvieran efectivamente en los pools afectados. EURR experimentó una dislocación similar, aunque menos pronunciada.
Queremos ser cuidadosos respecto a lo que el registro público sostiene y lo que no. A raíz inmediata del incidente, el mecanismo preciso —si una clave de firmante fue comprometida, si se explotó un rol de administrador externo al multisig, si se abusó de una ruta de actualización del contrato, o si un módulo de Safe mal configurado permitió eludir el umbral— no ha sido divulgado de forma definitiva por el emisor. Lo que sí está claro es que el fallo se produjo en la capa de control de acceso, no en la capa de reservas. Las reservas, según lo que se ha declarado públicamente, estaban intactas; el contrato simplemente acuñó tokens a los que no correspondía ninguna reserva.
La forma del ataque, según las evidencias disponibles
Varios patrones se repiten en exploits de multisig con este perfil, y cualquier reconstrucción forense debe considerarlos como candidatos y no como mecanismos confirmados:
- Mala configuración de módulos. Los monederos Safe admiten módulos —contratos auxiliares que pueden ejecutar transacciones en nombre del Safe sin pasar por el umbral normal de firmantes. Un módulo instalado por razones operativas (por ejemplo, acuñación automatizada contra depósitos atestiguados) se convierte en una ruta alternativa hacia la función de mint. Si el módulo tiene controles de acceso más débiles que el multisig principal, se convierte en el umbral efectivo.
- Firmante huérfano o con privilegios excesivos. Un exempleado, contratista o socio de integración cuya clave de firma nunca fue eliminada del conjunto. El nominal 4-de-7 se convierte en un 4-de-7-con-uno-controlado-por-el-atacante, lo que cambia materialmente la dificultad de alcanzar el umbral.
- Exploit de cambio de propietario. Un bug o mala configuración que permite modificar el conjunto de firmantes o el umbral mediante una ruta que no requiere la aprobación completa del umbral. Una vez que un atacante puede añadir su propia dirección como firmante o reducir el umbral a uno, todas las acciones posteriores parecen legítimas on-chain.
- Phishing o compromiso del frontend de firma. Los firmantes aprueban transacciones a través de interfaces que muestran resúmenes legibles por humanos. Si la interfaz está comprometida o los datos de la transacción están elaborados para ocultar su efecto real, los firmantes pueden aprobar colectivamente una acción maliciosa —habitualmente una actualización del contrato o una transferencia de administrador— creyendo que están aprobando operaciones rutinarias.
Sin un post-mortem definitivo de StablR, atribuir el incidente a cualquiera de estos mecanismos es especulación. La categoría de fallo, sin embargo, es consistente: una superficie de control que se presumía requería múltiples aprobaciones independientes resultó ser alcanzable por un número menor.
El dump on-chain y la mecánica del depeg
Acuñar tokens sin respaldo es solo la mitad de un exploit de este tipo. La otra mitad es monetizarlos antes de que el mercado lo detecte. Las stablecoins operan principalmente contra otras stablecoins o contra ETH en pools de liquidez concentrada en Uniswap v3, Curve y venues similares. La liquidez de estos pools, especialmente para stablecoins de emisores más pequeños como USDR y EURR, es superficial en comparación con la oferta que puede acuñarse en una sola transacción.
La secuencia de depeg en casos como este sigue un arco predecible. El atacante acuña en su propia dirección, aprueba un router y ejecuta swaps contra los pools más profundos disponibles —típicamente pares USDR/USDC o EURR/USDC, posiblemente enrutados a través de patas intermedias de ETH para acceder a mayor liquidez. Los primeros swaps se ejecutan cerca de la paridad. A medida que el lado USDR o EURR del pool se llena con los tokens del atacante y su lado USDC se agota, el repricing de la curva se acelera: cada unidad posterior de token sin respaldo extrae menos stablecoin dura. El atacante corre contra dos relojes: el tiempo antes de que los arbitrajistas y el emisor detecten la anomalía, y el tiempo antes de que la liquidez del pool se agote hasta el punto en que más extracción no compensa el slippage.
El mínimo reportado de alrededor de 0,40 dólares para USDR es consistente con este patrón. Una caída de aproximadamente el 60% respecto a la paridad en un pool de stablecoins implica o bien liquidez muy escasa en relación al tamaño del dump, o una retirada en cascada de otros proveedores de liquidez que detectaron la anomalía, o ambas cosas. Los proveedores de liquidez en pools de stablecoins son particularmente vulnerables a este tipo de evento: para cuando reconocen el depeg e intentan retirar, su posición ya ha sido rebalanceada hacia el activo que pierde la paridad, y la salida cristaliza la pérdida.
Quién pierde realmente
La contabilidad de un exploit de mint por multisig vale la pena detallarla, porque la pérdida se distribuye de maneras no obvias:
- Los proveedores de liquidez en los pools de USDR y EURR absorben la pérdida directa. Sus posiciones, denominadas en USDC o ETH al entrar, son rebalanceadas hacia la stablecoin que pierde la paridad a medida que el atacante realiza swaps. Salen del pool con tokens sin respaldo.
- Los tenedores secundarios que adquirieron EURR o USDR antes del exploit ven caer el valor de mercado de sus holdings, aunque, en principio, su derecho proporcional sobre las reservas del emisor puede no haber cambiado. Si el emisor honra las redenciones a la par para los tenedores legítimos, esta pérdida puede revertirse parcial o totalmente con el tiempo; si el emisor no puede distinguir a los tenedores legítimos de los derivados del atacante, o si las reservas son insuficientes para cubrir la oferta inflada, la pérdida se cristaliza.
- El atacante termina con los ingresos del swap —principalmente USDC, ETH o cualquier activo de contrapartida más profundo— que pueden lavarse a través de mixers, bridges o agregadores de DEX. La recuperación de estos fondos depende de la rapidez de cooperación de exchanges y protocolos.
- El emisor pierde capital reputacional y, en el peor de los casos, se enfrenta a un déficit de reservas si decide honrar las redenciones sobre la oferta inflada.
Las reservas en sí mismas típicamente no se tocan. Esta es la cruel asimetría del modo de fallo: un emisor puede tener reservas perfectamente limpias, completamente atestiguadas y segregadas, y aun así producir un evento de depeg, porque el depeg está impulsado por una expansión de la oferta on-chain que las reservas nunca contemplaron cubrir.
Comparativa de arquitecturas de custodia entre emisores de stablecoins
La pregunta relevante para el mercado en su conjunto no es “¿falló StablR?” —sí falló— sino “¿cuál es la distribución de modos de fallo similares entre los emisores en los que la gente realmente confía?” Una comparación completa requeriría divulgaciones que la mayoría de los emisores no realizan, pero los contornos generales son visibles a partir de la inspección on-chain y la documentación publicada.
Los principales emisores de dólares
Tether (USDT) ha sido históricamente opaco sobre su arquitectura de seguridad operativa. Las operaciones de mint y burn en USDT se ejecutan desde direcciones de tesorería controladas por Tether; los detalles de los acuerdos de firma no son públicos. La escala de la oferta de USDT significa que cualquier evento de mint individual, incluso uno grande, es pequeño en relación a la oferta en circulación, lo que limita el impacto de un depeg por un solo exploit —pero el punto de control central está al menos tan concentrado como en emisores más pequeños.
Circle (USDC) opera con una estructura más pública. Los contratos de USDC incluyen un rol masterMinter que autoriza a otras direcciones a acuñar hasta allowances especificados, con el propio master minter controlado por un multisig. Circle ha publicado detalles sobre su seguridad operativa en registros regulatorios y auditorías. La arquitectura es reconociblemente similar a la de StablR en su forma —un rol privilegiado controlado por un multisig— y está expuesta en principio a la misma categoría de riesgo, mitigada por la madurez de las prácticas operativas de Circle.
Paxos (USDP, PYUSD) opera bajo una licencia fiduciaria de Nueva York con supervisión regulatoria de los controles operativos. La arquitectura técnica sigue siendo un modelo de mint privilegiado.
La similitud estructural
En todos estos emisores, el patrón arquitectónico es el mismo: un rol on-chain privilegiado, controlado por un monedero multisignatura, que ejecuta operaciones de mint y burn contra movimientos de reservas fuera de la cadena. Las diferencias están en la madurez operativa —selección de firmantes, prácticas de hardware wallet, cadencia de rotación de claves, higiene en la firma de transacciones, configuración de módulos, monitoreo— ninguna de las cuales es visible para analistas externos de forma rigurosa.
Esta es la conclusión incómoda: el sector de stablecoins en dólares está ampliamente expuesto a la misma clase de riesgo que se materializó en StablR. La razón por la que no se ha materializado en emisores más grandes es una combinación de mejores prácticas operativas, mayor atención de los atacantes atraída por el mayor valor (lo cual es de doble filo), y suerte. Ninguno de estos factores es una garantía.
Arquitecturas alternativas
Algunos diseños reducen la dependencia del mint privilegiado. Las stablecoins algorítmicas (con sus propios modos de fallo bien documentados) y las stablecoins sobrecolateralizadas respaldadas por criptomonedas como DAI reemplazan el mint del emisor con lógica de depósito de colateral aplicada on-chain; no existe el equivalente de un mint por multisig que comprometer. Diseños más recientes experimentan con pruebas de reservas atestiguadas on-chain a través de redes de oráculos, lo que en principio permitiría a un contrato rechazar mints que superen las reservas atestiguadas —pero estos diseños introducen sus propios supuestos de confianza en el oráculo y no han desplazado al modelo de mint privilegiado en producción.
Un marco para evaluar el riesgo de custodia en stablecoins
Si aceptamos que el modelo de mint privilegiado es la realidad de producción en el futuro previsible, la pregunta se convierte en cómo evaluar la seguridad operativa que lo rodea. Proponemos cuatro ejes que analistas y asignadores de capital pueden aplicar al evaluar una stablecoin respaldada por fiat.
1. Umbral y composición de firmantes
La pregunta básica: cuál es el M de N, y quiénes son los N. Un multisig 4-de-7 es significativamente distinto de un 2-de-3, y ambos difieren de un 3-de-5 en el que uno de los firmantes es una clave en caliente controlada por un sistema de automatización. La divulgación pública de la identidad de los firmantes es poco habitual y probablemente indeseable por razones de seguridad, pero sí es razonable esperar la divulgación de la categoría de firmante —miembros independientes del consejo, directivos, equipo de seguridad, custodio externo. Los emisores que se niegan a revelar siquiera el umbral y el desglose por categorías están pidiendo que se les confíe en una dimensión donde esa confianza ha fallado de forma visible.
2. Inventario de módulos y roles de administrador
Más allá del multisig principal, ¿qué otras direcciones o contratos tienen acceso privilegiado al contrato del token? Un upgrade-admin, un pauser, un blacklister, un minter de emergencia o cualquier módulo de Safe instalado por conveniencia operativa constituyen superficie de ataque adicional. Un emisor que puede presentar un inventario completo y auditable de estos roles —y explicar el umbral que protege a cada uno— opera en un nivel de madurez diferente al que no puede.
3. Separación operativa e higiene de firma
Este es el eje más difícil de evaluar desde fuera, pero el más predictivo. ¿Están los firmantes usando hardware wallets con capacidad de parseo de transacciones? ¿Existe un paso de confirmación fuera de banda para transacciones de alto valor o inusuales? ¿Se rotan las claves de los firmantes con una cadencia definida y ante cambios de personal? ¿Hay un sistema de monitoreo que alerte sobre transacciones de mint fuera de los patrones esperados? Los emisores generalmente no publican este detalle, pero los informes SOC 2, las certificaciones ISO 27001 y el contenido de los registros regulatorios proporcionan evidencia indirecta.
4. Cadencia de reconciliación reservas-oferta
Incluso si la función de mint es comprometida, un ciclo de detección y respuesta suficientemente rápido limita el daño. Si las atestaciones de reservas se reconcilian contra la oferta on-chain de forma continua o casi continua, una expansión inesperada de la oferta es detectable en minutos. Si la reconciliación es mensual, el atacante tiene semanas de cobertura. La cadencia y automatización de esta reconciliación está, a nuestro juicio, infravalorada en las evaluaciones actuales de la calidad de las stablecoins.
Una stablecoin que puntúa bien en calidad de respaldo pero mal en estos cuatro ejes es exactamente el perfil que produce eventos del estilo StablR. Una que puntúa bien en los cinco —respaldo más los cuatro ejes operativos— es estructuralmente más defendible, independientemente del tamaño del emisor.
Implicaciones y qué vigilar
El incidente de StablR es pequeño en términos de dólares en comparación con los principales fallos de stablecoins del último ciclo, y sería fácil archivarlo como una nota al pie. Creemos que esa es la lectura equivocada. El exploit demostró, contra un emisor licenciado activo que opera bajo la regulación europea de stablecoins, que la capa operativa que subyace a “totalmente respaldado” puede fallar de maneras que producen depegs instantáneos sin ningún cambio en las reservas subyacentes. Los marcos regulatorios que están entrando en vigor en las principales jurisdicciones —MiCA en Europa, diversas propuestas en Estados Unidos— están muy centrados en la composición de las reservas, la auditoría y los derechos de redención. Son comparativamente escasos en requisitos de seguridad operativa para la propia infraestructura de emisión.
Hay varias cosas que vale la pena vigilar a partir de aquí. La primera es si StablR publica un post-mortem técnico detallado que identifique el modo de fallo específico. La credibilidad del sector de stablecoins en su conjunto depende de que incidentes como este sean diseccionados públicamente, del mismo modo en que los exploits de contratos inteligentes en protocolos DeFi típicamente lo son. Si el post-mortem es opaco o está ausente, la lección disponible para otros emisores se reduce.
La segunda es si los reguladores incorporan requisitos de seguridad operativa a los marcos de stablecoins con la misma especificidad que aplican a las reservas. Un régimen significativo requeriría la divulgación del umbral del multisig y la categoría de los firmantes, un inventario de los roles privilegiados, evidencia de auditorías operativas independientes y estándares de respuesta a incidentes. Nada de esto existe en los marcos actuales a un nivel de detalle comparable a los requisitos de reservas.
La tercera, más especulativa, es si el mercado comienza a valorar el riesgo operativo en la selección de stablecoins. En este momento, la elección entre stablecoins está dominada por la liquidez, el estatus regulatorio y el rendimiento (en el caso de las nuevas variantes que generan intereses). La seguridad operativa se asume implícitamente como adecuada o se descuenta implícitamente en la reputación. Un mercado que distinguiera, en precio o en decisiones de integración, entre emisores con seguridad operativa demostrada y aquellos sin ella crearía el gradiente de incentivos correcto. Todavía no estamos ahí.
La pregunta abierta e incómoda es cuántos otros emisores tienen configuraciones que fallarían bajo una presión similar. La respuesta honesta es que nadie fuera de esos emisores lo sabe, y que en muchos casos los propios emisores pueden no haber auditado sus configuraciones con suficiente rigor como para saberlo. Es poco probable que el exploit de StablR sea el último de su tipo. Puede que, si el post-mortem es honesto y la respuesta es estructural, se encuentre entre los más útiles.