2026年5月25日、マルタ金融サービス庁(MFSA)の監督下でユーロおよび米ドル建てのステーブルコインを発行するStablR社は、自社システムへの不正アクセスにより、裏付け資産を伴わないトークンが大量に発行されたことを公表しました。攻撃者は「1-of-3」という脆弱なマルチシグ(複数署名)設定を突いて発行ウォレットの支配権を奪い、額面で合計約1,350万ドル相当のステーブルコインを増発しました。本事案は、欧州の厳格な暗号資産規制であるMiCA(暗号資産市場規制)に準拠していることと、実際のシステム運用における堅牢性は必ずしも一致しないという、Web3ビジネスにおける極めて重要な教訓を示しています。
事件の経緯と「1-of-3」マルチシグの脆弱性
StablR社は、マルタを拠点に米ドル建ての「USDR」とユーロ建ての「EURR」を発行する企業です。これらのトークンは、EU(欧州連合)の暗号資産市場規制であるMiCAのもとで、法定通貨の価値に連動する電子マネートークン(EMT)として位置づけられており、発行額と同額の準備資産を常に1対1で保有することが義務づけられています。
しかし、2026年5月25日に公表された不正アクセスでは、トークンの新規発行(ミント)を管理するウォレットのセキュリティ設定がボトルネックとなりました。このウォレットは「3つの鍵のうち1つ(1-of-3)」の署名があれば取引を承認できる設定で運用されていました。これは、重要な操作であっても実質的に単一の鍵だけで実行できる状態に近いものでした。
攻撃者はこの3つの鍵のうち1本を入手し、単独で承認できる権限を利用して自身のアドレスを新たな管理者としてウォレットに追加しました。さらに、正規の署名者をウォレットの権限から排除することで、元の運用者が操作を取り戻せないように支配権を完全に掌握しました。
支配権を握った攻撃者は、裏付け資産がない状態でUSDRを約835万、EURRを約450万、額面にして合計約1,350万ドル相当を新たに発行しました。その後、攻撃者はこれらのトークンを分散型取引所(DEX)で売却しましたが、取引量が薄かったために売却に伴う価格下落が発生し、最終的に得られた利益は約280万ドル(約1,115ETH)にとどまったとみられています。
この大量売却により、両トークンは基準となる価格から大きく乖離(デペッグ)し、ユーロ建てのEURRは一時約0.548ドルまで下落するなど、最大で約50%下落したと報じられています。StablR社は、流通するUSDRとEURRがMiCAの求める1対1の裏付けを満たしていないことを認め、発行と償還を停止しました。また、取引所に対して取引や入出金の停止を要請するとともに、マルタ金融サービス庁に対し、DORA(デジタル・オペレーショナル・レジリエンス法)に基づく重大なICT関連インシデントとして届け出る方針を示しています。
規制ルールがカバーできない「運用ガバナンス」の課題
今回の事件は、EUがMiCAそのものの見直しに着手した時期と重なりました。2026年5月20日、欧州委員会の金融安定・金融サービス・資本市場同盟総局(DG FISMA)は、MiCAが変化する市場に適合しているかを問う意見公募を開始しており、受付は2026年8月31日までとなっています。この意見公募は、将来の改正を見据えて市場関係者の間では「MiCA 2」とも呼ばれています。
見直しの主な論点には、ステーブルコインの準備資産要件や償還権、規模の大きいトークンを重要と判定する基準などが含まれています。これらは裏付け資産や利用者保護のルール設計に関わるものです。
しかし、今回StablR社で起きた事故は、準備資産のルール違反やスマートコントラクトの欠陥ではなく、鍵の管理や権限変更の手続きという運用面で発生しました。準備資産を1対1で求めるルールは、鍵の侵害によってその資産が無意味化する事態までは直接カバーしていません。規制への準拠という枠組みと、実際の鍵管理や権限変更フローの堅牢性は、別のレイヤーで担保されるべきであることを示しています。
日本の法制度と国内事業者への示唆
日本国内においても、改正資金決済法のもとでステーブルコインは「電子決済手段」として位置づけられ、発行体は銀行や資金移動業者、信託会社などに限定されて全額が保全される仕組みになっています。さらに、2026年6月には、信託型の裏付け資産について運用範囲を広げる改正の施行も予定されています。
しかし、こうした制度が手当てするのは主に発行体の類型や裏付け資産のあり方であり、発行に用いる鍵や権限の管理は、各発行体のシステムリスク管理に委ねられる部分が大きいのが現状です。今回の事例は、裏付け資産の保全ルールを遵守するだけでは不十分であり、鍵管理や権限変更プロセスの堅牢性をいかに確保するかが極めて重要であることを、国内の事業者に対しても改めて示すものとなりました。
ポイント
- MiCA準拠のステーブルコイン発行体であるStablR社が、「1-of-3」という脆弱なマルチシグ設定の鍵を侵害され、発行ウォレットの支配権を奪われました。
- 攻撃者は裏付けのないUSDRとEURRを計約1,350万ドル相当増発し、DEXで売却したため、両トークンは一時最大約50%デペッグする事態となりました。
- 厳格な準備資産ルールを定めたMiCA規制下であっても、鍵管理や権限変更のプロセスといった「運用ガバナンス」の不備まではカバーできないことが浮き彫りになりました。
- 日本国内でもステーブルコインの法整備が進む中、システムリスク管理や鍵管理のあり方は各事業者の内部統制に委ねられており、本件は国内事業者にとってもセキュリティ体制を見直す上で重要な教訓として注目されます。