ステーブルコイン発行プロトコルであるStablRが、マルチシグ(複数署名)キーの管理上の不備を突いた攻撃を受け、約280万ドル相当の暗号資産が不正に流出しました。この影響により、同社が発行するユーロ連動型ステーブルコインEURRと米ドル連動型ステーブルコインUSDRが、本来の価値から大幅に乖離(ディペッグ)する事態が発生しています。今回の事件はスマートコントラクトの脆弱性ではなく、鍵管理とガバナンスの設計ミスが原因とされており、Web3業界におけるセキュリティ運用の重要性を改めて浮き彫りにしています。
事件の概要と被害状況
2026年5月24日、ブロックチェーンセキュリティ企業Blockaidなどの報告により、StablRが発行するステーブルコインEURRおよびUSDRを対象とした不正流出(エクスプロイト)が発覚しました。
攻撃者は、StablRのミント(新規鋳造)用スマートコントラクトを管理するマルチシグアカウントの秘密鍵を侵害し、システムを掌握したとされています。その後、攻撃者は額面価値で合計約1,040万ドルに相当するトークン(835万USDRと450万EURR)を不正にミントし、分散型取引所(DEX)でスワップ(交換)を実行しました。
DEXの流動性が低かったため、攻撃者が最終的に得た利益は約1,115 ETH(約280万ドル相当)に留まりましたが、大量の売り圧力を浴びた両ステーブルコインは大幅にディペッグしました。EURRは約20%下落し、USDRも本来の米ドルペッグを失って大幅に値を下げたと報告されています。
技術的背景:スマートコントラクトのバグではなく「ガバナンスの失敗」
今回の不正流出において注目すべきは、スマートコントラクト自体のプログラムに脆弱性があったわけではないという点です。
セキュリティ企業Blockaidの分析によると、原因はStablRのミント用マルチシグアカウントのセキュリティ設定にありました。このマルチシグは、3つの管理鍵のうち1つの署名があれば実行可能(1-of-3)という極めて低いしきい値で運用されていたとされています。
そのため、攻撃者はわずか1つの秘密鍵を侵害するだけで、契約全体の完全な制御権を奪取することが可能でした。攻撃者は、自身の管理アドレスを所有者として追加した上で、他の2つの正規の署名者を削除し、システムを完全に支配しました。Blockaidはこの事態を「スマートコントラクトのバグではなく、鍵管理とガバナンスの失敗である」と指摘しています。
Web3ビジネスにおける教訓と業界への影響
今回の事件は、Web3プロジェクトを運営する事業者にとって、スマートコントラクトの監査だけでなく、運用フェーズにおける鍵管理(キーマネジメント)やガバナンス体制の設計が極めて重要であることを再認識させる事例となりました。
特にマルチシグウォレットの署名しきい値を低く設定することは、利便性を高める一方で、単一障害点(Single Point of Failure)を生み出す重大なリスクを伴います。また、流動性が低いステーブルコイン市場においては、不正に発行されたトークンの大量売却が急激な価格崩壊(ディペッグ)を招きやすく、エコシステム全体やユーザーの信頼を大きく損ねる結果となるため、より厳格なセキュリティ設計が求められます。
ポイント
- ステーブルコイン発行元StablRのマルチシグキーが侵害され、約280万ドル相当(約1,115 ETH)の暗号資産が不正流出しました。
- 攻撃者は「1-of-3」という脆弱なマルチシグ設定を悪用し、額面約1,040万ドル相当のEURRとUSDRを不正にミントしてDEXでスワップしました。
- この大量売却により、EURRとUSDRは本来のペッグを失い、それぞれ大幅に価格が下落(ディペッグ)しました。
- セキュリティ企業Blockaidは、今回の事件がコントラクトのバグではなく「鍵管理とガバナンスの失敗」によるものであると指摘しており、Web3ビジネスにおけるセキュリティ運用の教訓として注目されます。