StablR-Exploit lässt EURR auf $0,88 und USDR auf $0,70 stürzen

Der StablR-Stablecoin-Exploit traf beide Flaggschiff-Token des Projekts am 24. Mai 2026 hart und drückte EURR auf etwa $0.88 sowie USDR auf rund $0.70, nachdem ein Angreifer angeblich die Kontrolle über einen privaten Schlüssel in StablRs Minting-Multisig auf Ethereum erlangt hatte. Was folgte, war genau die Art von Vertrauenskollaps, den reservengedeckte Stablecoin-Emittenten am meisten fürchten: kein langsames Ausbluten, sondern ein scharfes, sofortiges Markturteil darüber, ob dem Emittenten zugetraut werden kann, sein eigenes Angebot zu kontrollieren.

Wie lief der StablR-Stablecoin-Exploit ab?

Die Blockchain-Sicherheitsfirma Blockaid war die erste, die das Geschehene einordnete. Laut Blockaid verschaffte sich der Angreifer Zugang durch eine mutmaßliche Kompromittierung eines privaten Schlüssels, der mit einem Minting-Multisig-Konto verbunden war. Dieser einzelne Zugangspunkt gab dem Angreifer etwas weitaus Gefährlicheres als einen Flash Loan oder einen Reentrancy-Bug: direkte Autorität über die Token-Erstellung.

Einmal eingedrungen, ersetzte der Angreifer Berichten zufolge die Administratoren der Multisig und nutzte diesen erhöhten Zugang, um 8,35 Millionen USDR und 4,5 Millionen EURR zu prägen. Dies waren keine Token, die bestehenden Inhabern gestohlen wurden. Sie wurden aus dem Nichts erschaffen, unter dem Vorwand einer legitimen Ausgabe, und sofort in Richtung Liquiditätsausgänge bewegt.

Der StablR-Stablecoin-Exploit führte dazu, dass der Angreifer die frisch geprägten Token auf dezentralen Börsen gegen etwa 1.115 ETH tauschte, was einem Bruttowert von rund $10,4 Millionen und einem Nettogewinn von etwa $2,8 Millionen nach Berücksichtigung der Depeg-Preise entsprach.

Die Depeg-Zahlen erzählen die ganze Geschichte

Märkte warten nicht auf offizielle Stellungnahmen. In dem Moment, als unautorisiertes Angebot die DEX-Pools erreichte, handelten beide Token abseits der Parität. EURRs Depeg landete bei etwa $0.88, eine Lücke von 12 Cent, die ernsthaftes Misstrauen signalisiert und nicht nur einen kleinen Liquiditätsengpass. USDR erging es schlechter und fiel auf rund $0.70, bevor sich der Handel stabilisierte.

PeckShield meldete die EURR-Abweichung ebenfalls in Echtzeit, was die Sichtbarkeit erhöhte und die Flucht aus beiden Token beschleunigte. Wenn zwei unabhängige Sicherheitsfirmen dasselbe Ereignis in Echtzeit melden, interpretieren Händler das als klares Signal, zuerst auszusteigen und später Fragen zu stellen.

Für jeden, der von außen zuschaute, war dies nicht nur ein schlechter Tag für einen kleinen Emittenten. Es war eine Live-Demonstration, wie schnell dünne Liquidität ein Governance-Versagen in eine Preiskrise verwandelt. Die erzwungene Umwandlung frisch geprägter Token in ETH entzog den DEX-Pools die ohnehin begrenzte Tiefe, und die daraus resultierende Slippage verstärkte die Depegs über das Maß hinaus, das allein durch die Größe der Prägung verursacht worden wäre.

Schlüsselverwaltung, nicht Smart Contracts: Warum diese Unterscheidung wichtig ist

Blockaids Einordnung als Governance- und Schlüsselverwaltungsversagen statt als Smart Contract-Schwachstelle ist das Detail, das am meisten Beachtung verdient. Die Krypto-Branche hat Jahre damit verbracht, Vertragscode zu härten, und diese Bemühungen haben echten Wert. Doch dieser Vorfall erinnert daran, dass die gefährlichsten Angriffsflächen oft menschlicher und operativer Natur sind, nicht algorithmischer.

Eine Multisig-Schlüsselkompromittierung kann alle Annahmen unterlaufen, die Nutzer über On-Chain-Sicherheit treffen, insbesondere wenn der Schwachpunkt auf der Emittenten-Ebene liegt und nicht in einem öffentlich auditierten Vertrag. In diesem Fall musste der Angreifer keinen Programmierfehler finden. Er musste lediglich den richtigen Schlüssel erlangen und die richtigen Administratoren ersetzen. Der Vertrag selbst tat genau das, was ihm aufgetragen wurde.

Diese Realität schafft ein schwierigeres Problem für Stablecoin-Emittenten. Starke Reserven und saubere Audits können verifiziert und veröffentlicht werden. Operative Sicherheit rund um private Schlüssel ist unsichtbar, bis etwas schiefgeht. StablR hat EURR und USDR als regulierte, besicherte Token mit Reserven auf getrennten Konten positioniert, und nichts im Exploit-Bericht stellte diese Reservestruktur direkt in Frage. Was in Frage gestellt wurde, war die darüber liegende operative Ebene.

Was das für StablR und kleinere Stablecoin-Emittenten bedeutet

StablR ist kein Randprojekt. Seine Token laufen sowohl auf Ethereum als auch auf Solana, und das Projekt erhielt im Dezember 2024 ein Investment von Tether, eine Beziehung, die echte Glaubwürdigkeit auf dem europäischen Stablecoin-Markt mit sich brachte, auf dem EURR positioniert ist. Diese Unterstützung lässt den Vorfall anders wirken, als wenn er einen anonymen Fork eines Yield-Protokolls getroffen hätte.

Für kleinere Emittenten, die sich in einem von USDT und USDC dominierten Sektor behaupten wollen, verursachen solche Vorfälle unverhältnismäßig großen Reputationsschaden. Ein Tether oder Circle kann einen schlechten Nachrichtenzyklus überstehen und auf institutionelle Infrastruktur sowie regulatorische Beziehungen verweisen. Ein jüngerer Emittent steckt ein Depeg-Ereignis ein und steht vor einer Frage, die er möglicherweise nicht sauber beantworten kann: Warum sollte der Markt Ihren Kontrollen vertrauen, wenn sie bereits einmal versagt haben?

In einem Monat, der ohnehin schon von DeFi-Exploit-Schlagzeilen geprägt ist, reiht sich der StablR-Vorfall in ein wachsendes Muster ein. Besicherung ist wichtig. Regulatorische Konformität ist wichtig. Aber beides reicht allein nicht aus, wenn die Schlüssel zur Prägung entwendet werden können. Der Markt, unverblümt wie immer, hat bereits gesagt, was er denkt. Der Preis ist das Urteil.