스테이블알(StablR)의 유로(EURR)와 스테이블알 달러(USDR) 스테이블코인은 5월 24일 이더리움에서 페그가 해제되었습니다. 프로젝트의 민팅(발행) 컨트랙트에서 발생한 해킹으로 공격자는 약 280만 달러를 탈취했습니다.
블록체인 보안업체 블록에이드(Blockaid)는 현재 진행 중인 공격을 탐지했습니다. 블록에이드는 스테이블알의 스마트 컨트랙트 결함이 아니라 개인키가 유출되면서 발생한 사고라고 밝혔습니다.
공격자가 StablR의 통제권을 장악한 과정
스테이블알 토큰 발행을 관리하던 발행 멀티시그는 3인의 권한 서명 중 단 1명만으로도 실행이 가능했습니다. 1/3 구조였기 때문에 단 한 명만 키를 유출당해도 전체 컨트랙트의 통제권을 빼앗길 수 있습니다.
공격자는 자신의 주소를 소유자로 추가했습니다. 두 명의 기존 정당한 서명자는 삭제되었습니다. 공격자는 835만 USDR과 450만 EURR을 발행했습니다. 두 토큰의 합산 기준가는 페그 기준 약 1,040만 달러입니다.
블록에이드는 X에 후속 게시글로 이 과정을 정리했습니다.
“이것은 스마트 컨트랙트 버그가 아니라, 키 관리와 거버넌스 실패입니다.”
탈중앙화 거래소(DEX)의 유동성이 매우 얕았기 때문에 공격자가 얻은 수익은 크게 제한되었습니다.
갓 발행된 1,040만 달러 규모의 토큰을 얕은 유동성 풀에 교환하자, 약 1115 이더(ETH)만을 확보할 수 있었습니다. 이는 약 280만 달러에 해당합니다.
EURR는 이더리움에서 추적된 유동성 기준 약 20% 하락했습니다. USDR 역시 매도 압력이 쏟아지면서 페그를 상실했습니다.
반복되는 거버넌스 허점
이번 사건은 과거 스테이블코인에서 접근 권한 없이 대량 발행되며 급격하게 페그가 해제된 사례들과 유사합니다.
더 넓게 보면, 최근 수년간 암호화폐 도난이 기록적으로 증가하는 데 기여한, 개인키 유출형 디파이(DeFi) 해킹이 지속적으로 발생하고 있습니다.
2026년 초 레졸브(Resolv) 스테이블코인의 유사 해킹 사건에서는 단 하나의 제대로 보호되지 않은 키만으로 대량 발행이 가능했습니다.
스테이블알은 몰타 금융감독기관의 전자화폐기관(EMI) 라이선스를 보유하고 있습니다. 회사는 EU의 암호화자산규제(MiCA)를 준수하여 운영하고 있습니다.
2024년 말 테더(Tether)로부터 전략적 투자를 유치했습니다. 해당 규제 및 투자자와의 관계가 향후 어떻게 복구 대응에 작용할지는 아직 공개되지 않았습니다.
