Nhà phát hành stablecoin châu Âu StablR đã bị tấn công chữ ký đa chữ ký (multi-signature) nhiều lớp từ tối ngày 24/5 đến rạng sáng ngày 25/5. Kẻ tấn công đã đánh cắp khóa cá nhân đa chữ ký 1/3 của hợp đồng đúc coin và trong khoảng 3 giờ đã đúc 8,35 triệu USDR và 4,5 triệu EURR, sau đó xả trên sàn giao dịch phi tập trung, khiến EURR giảm xuống khoảng 0,85 đô la và USDR giảm xuống khoảng 0,64 đô la.
Cơ chế kỹ thuật của cuộc tấn công: 1/3 ngưỡng đa chữ ký bị “vượt ngưỡng” như thế nào
Blockaid xác nhận, gốc rễ kỹ thuật của vụ tấn công là việc lộ khóa cá nhân của một người ký trong cơ chế đa chữ ký của StablR. Tính năng đúc của StablR sử dụng cơ chế đa chữ ký 1/3 (ngưỡng chữ ký một phần ba), tức chỉ cần một trong ba người ký được ủy quyền chấp thuận là có thể thực hiện việc đúc. Kẻ tấn công đã thông qua khóa cá nhân bị lộ để: tự thêm vào làm quản trị viên; thay thế chủ sở hữu hợp pháp ban đầu; và trong 3 giờ hoàn tất việc đúc trái phép 8,35 triệu USDR và 4,5 triệu EURR.
Kẻ tấn công cũng tận dụng thêm quyền quản trị thu được để đưa vào danh sách đen và hủy ít nhất một loại token do đối tác giao dịch hợp pháp nắm giữ—ghi nhận trên chuỗi xác nhận ít nhất một lần đã hủy khoảng 2,7 triệu EURR (khoảng 2,4 triệu đô la). Các token này đến từ một ví đã thực hiện các thao tác mua lại thường xuyên với StablR trong nhiều tháng. Ví của kẻ tấn công đã nạp vốn ban đầu thông qua giao thức chuyển tiền xuyên chuỗi Circle trên Noble (CCTP).
Dữ liệu đã xác nhận về tổn thất thực tế và tác động thị trường
Blockaid phân tích và xác nhận rằng các token có giá trị danh nghĩa khoảng 10,4 triệu đô la đã được đổi lấy ETH trên sàn giao dịch phi tập trung, nhưng do trượt giá lớn vì thanh khoản không đủ, lợi nhuận ròng thực tế của cuộc tấn công ước tính khoảng 2,8 triệu đô la. Tính đến sáng Chủ nhật, ví tập trung của kẻ tấn công được Etherscan gắn nhãn là “StablR Exploiter 2” đang nắm giữ 1.488 ETH (khoảng 3,15 triệu đô la). ZachXBT đã hỗ trợ đóng băng số tiền bị đánh cắp ở quy mô “hàng trăm nghìn” đô la.
Về giá, theo dữ liệu CoinGecko: giá giao dịch của EURR đã giảm xuống khoảng 0,85 đô la (điểm neo euro so với đô la Mỹ khoảng 1,15 đô la, mức giảm khoảng 26%); USDR giảm xuống 0,64 đô la (mức giảm khoảng 36%). Tổng nguồn cung stablecoin neo theo euro trên Ethereum hiện chiếm khoảng 0,24% tổng nguồn cung stablecoin hỗ trợ bằng pháp tệ trên Ethereum.
Câu hỏi thường gặp
Ngưỡng đa chữ ký 1/3 được đánh giá an toàn như thế nào trong ngành, và vì sao bị cho là lỗi thiết kế?
Nguyên tắc thiết kế an toàn của đa chữ ký (Multisig) là tăng số lượng khóa mà kẻ tấn công cần bẻ khóa; ngưỡng càng thấp thì càng dễ bị vượt qua. Ngưỡng 1/3 (một phần ba) nghĩa là kẻ tấn công chỉ cần kiểm soát 1 trong 3 người ký được ủy quyền là có thể thực thi đầy đủ các thao tác đặc quyền cao như đúc coin. So sánh trong ngành: cây cầu Harmony Horizon năm 2022 trước khi bị rút cướp 100 triệu đô la đã dùng ngưỡng 2/5; khi đó các chuyên gia phân tích an toàn cũng đã chỉ ra đây là thiết kế an toàn không đủ. Các giải pháp đa chữ ký phổ biến như Gnosis Safe thường khuyến nghị ngưỡng 3/5 hoặc cao hơn cho các thao tác đặc quyền cấp giao thức. Blockaid nhấn mạnh rõ ràng rằng ngưỡng 1/3 là vấn đề về quyết định quản trị và quản lý khóa của StablR, chứ không phải lỗ hổng trong chính mã hợp đồng thông minh.
Bối cảnh tuân thủ MiCA của StablR và khoản đầu tư của Tether/Kraken có ảnh hưởng gì đến sự kiện tấn công này?
MiCA (khung quy định quản lý thị trường tài sản mã hóa) chủ yếu điều chỉnh yêu cầu dự trữ đối với stablecoin, điều kiện cấp phép phát hành và công bố rủi ro, không có quy định bắt buộc trực tiếp về yêu cầu kỹ thuật cụ thể đối với kiến trúc bảo mật của hợp đồng thông minh. StablR có giấy phép phát hành e-money của MFSA và tư cách tuân thủ MiCA, nhưng các sự công nhận của cơ quan quản lý này không bao phủ các lựa chọn thiết kế bảo mật cho việc triển khai hợp đồng. Tether và Kraken với vai trò nhà đầu tư chiến lược cũng không chịu tổn thất tài chính trực tiếp trong sự kiện này, nhưng sự kiện đã ảnh hưởng đến danh tiếng đầu tư của họ trong thị trường stablecoin tuân thủ tại châu Âu.
Cuộc tấn công này phản ánh sự chuyển dịch tổng thể của các mối đe dọa an ninh mã hóa năm 2026 như thế nào?
Phân tích của Blockaid và nhiều vụ tấn công lớn trong năm 2026 cùng chỉ ra một xu hướng: những sự kiện tổn thất nặng nề nhất trước đây không còn đến từ lỗ hổng trong mã hợp đồng thông minh kiểu mới, mà đến từ các sai sót thiết kế liên quan đến quyền truy cập đặc quyền, kiến trúc quản trị và quản lý khóa. Vụ Drift Protocol ngày 1/4 (tổn thất hơn 280 triệu đô la) cũng thực hiện chuyển tiền thông qua Circle CCTP và có liên quan đến mô hình tấn công thông qua quyền truy cập đặc quyền; dữ liệu DeFiLlama xác nhận rằng tháng 4/2026 là tháng có số lượng vụ tấn công hacker nhiều nhất trong lịch sử mã hóa (trong cùng tháng). Thiết kế đa chữ ký 1/3 của StablR và đa chữ ký 2/5 của Harmony đều gợi ý rằng khi mở rộng quy mô, các giao thức thường ưu tiên sự tiện lợi vận hành hơn là dư địa an toàn về khóa.
