StablRで約4.5億円のハッキング、ユーロと米ドルのステーブルコインがディペグ

StablRで約4.5億円のハッキング、ユーロと米ドルのステーブルコインがディペグ

by

ステーブルコインプロトコルのStablRがハッキング被害に遭い、約280万ドル(約4億5000万円)相当の資金が不正に流出した。この攻撃によって、同プロトコルが発行するユーロ建てステーブルコイン「EURR」と米ドル建てステーブルコイン「USDR」は、本来の価値である1ユーロ、1ドルとの連動(ペッグ)を大きく下回る水準まで価格が下落する「ディペグ」を引き起こしている。

今回の事件は、単なる一過性のトラブルとして片付けられない、より深い問題の一端を示している。過去数カ月の間に、管理者権限や秘密鍵の管理不備を突いたハッキング事件が頻発しており、DeFiプロジェクト全体のセキュリティモデルに疑問符がつけられている状況だ。この記事では、StablRで何が起きたのか、その原因と影響、そして相次ぐ類似事件から見える教訓について詳しく解説する。

USDRUSD by TradingView
EURUSD by TradingView
もくじ
  1. StablRで何が起きたのか
  2. 原因に浮上する「秘密鍵の漏洩」
  3. 相次ぐ管理者権限と秘密鍵のハッキング事例
  4. DeFiの「10億ドルの秘密」と今回の教訓
  5. この記事のポイント

StablRで何が起きたのか

StablRで何が起きたのか

2026年5月24日、ステーブルコインを発行するStablRプロトコルが攻撃を受け、悪意のある第三者がプラットフォームから多額の資金を引き出した。被害総額は約280万ドルと推定されている。この攻撃は、単純なスマートコントラクトのコードミスというよりは、より根本的なセキュリティ侵害、具体的には秘密鍵の漏洩や管理者権限の乗っ取りが疑われている。

StablRは、ユーザーが法定通貨を預け入れる代わりに、その価値と1対1で連動するデジタル資産(ステーブルコイン)を発行するプロトコルだ。このプロトコルが発行しているのが、ユーロに連動するEURRと、米ドルに連動するUSDRである。攻撃者は、新たなステーブルコインを無制限に発行する、あるいは裏付けとなる準備金を直接引き出すといった手法で、システムから資金を抜き取ったと考えられる。

攻撃の第一報を受けて、市場は即座に反応した。EURRとUSDRの価格は急落し、本来のペッグ(固定レート)である1ユーロ=1EURR、1ドル=1USDRから大きくかい離した。ステーブルコインの「安定」という看板が、ハッキングという外的要因によっていとも簡単に崩れ去る瞬間を、市場は再び目の当たりにすることになった。

ディペグした二つのステーブルコイン

ステーブルコインの世界では、常に1ドルや1ユーロといった基準資産と等価で取引されることが生命線だ。これが崩れることを「ディペグ(ペッグ外れ)」と呼ぶ。今回、StablRのUSDRとEURRは、まさにこのディペグ状態に陥った。攻撃のニュースが流れると、保有者はいち早く資産を売却しようとし、市場に売りが殺到することで価格がさらに下落するという悪循環が発生する。

具体的な価格水準について、Cointelegraphの記事は明らかにしていないが、280万ドル規模の不正流出は、時価総額の小さなステーブルコインにとって致命的な打撃となり得る。裏付けとなる資産の一部が消失した、あるいは消失したと市場が認識した瞬間、そのコインはもはや「1ドル(または1ユーロ)の価値がある」とはみなされなくなるからだ。

例えば、100万ドル分の資産で発行された100万枚のステーブルコインがあるとする。ここで28万ドルが盗まれれば、残った72万ドルの資産で100万枚のコインを支えることになるため、理論上の価値は1枚あたり0.72ドルに下落する。今回のケースも、これに近い構造で信認が崩れた可能性が高い。プロトコル側が損失を穴埋めするか、攻撃者が資金を返還しない限り、ペッグの回復は極めて難しい展開となる。

原因に浮上する「秘密鍵の漏洩」

原因に浮上する「秘密鍵の漏洩」

今回のStablRへの攻撃は、スマートコントラクトのバグを突いたものではなく、秘密鍵や管理者権限の侵害である可能性が高いと指摘されている。これは、銀行の巨大な金庫の扉を開けるための暗証番号そのものが盗まれたようなものだ。どれほど頑丈な金庫であっても、鍵と番号さえあれば中のお金は自由に持ち出せてしまう。

秘密鍵とは、ブロックチェーン上で資産を動かすための「究極のパスワード」にあたる。これを知る者は、そのアドレスに関連付けられたすべての資産を自由に操作できる。DeFiプロジェクトでは、緊急時のアップグレードやパラメーター変更などのために、管理者だけが使える特別な権限や鍵を保持していることが一般的だ。StablRもそうした仕組みを採用しており、攻撃者はこの最も重要な鍵を何らかの方法で入手したと見られている。

なぜ管理者権限が狙われるのか

攻撃者が管理者権限を狙う理由は明確だ。それは最も効率的で収益性が高いからに他ならない。スマートコントラクトのコードに潜むわずかな論理エラーを探し出して悪用するよりも、プロジェクトチームメンバーのパソコンにマルウェアを仕込んだり、ソーシャルエンジニアリングで鍵情報を騙し取ったりする方が、攻撃者にとっては手っ取り早いケースが増えている。

高い技術を要するコード監査(セキュリティチェック)を通過したプロジェクトであっても、人間のミスや組織の管理体制のずさんさまでは防げない。専門家の間では、分散型金融(DeFi)の世界で「分散化」されていない最大の弱点は、こうした人間や組織の運用部分、つまり「特権的な管理者」の存在だと以前から警告されていた。今回の事件は、その警鐘が現実のものとなった一例と言える。

相次ぐ管理者権限と秘密鍵のハッキング事例

相次ぐ管理者権限と秘密鍵のハッキング事例

StablRの事件は、孤立した出来事ではない。Cointelegraphの記事が指摘するように、ここ数カ月だけを見ても、管理者権限や秘密鍵の管理不備に起因するハッキングが業界全体で頻発している。デジャブのように繰り返されるこれらの事件は、業界が同じ過ちから学べていない現実を浮き彫りにしている。

暗号資産の保険金庫「Volo Vault」の例

Volo Vaultは、その名の通り暗号資産を安全に保管するための金庫サービスのようなものだ。しかし、このプロトコルも秘密鍵の悪用によって被害を受けた。これは銀行の貸金庫業者が、自身で管理するマスターキーを盗まれて、すべての貸金庫が開けられてしまったような事態だ。利用者は「プロだから安全」と信頼していたが、その信頼の根幹が崩されたのである。

予測市場Polymarketも被害に

有名な予測市場プラットフォームのPolymarketでも、管理者権限を悪用した攻撃が確認された。Polymarketは人々が様々な社会事象の結果に賭けるための場所で、その仕組みの一部にUMAプロトコルという裁定システムを利用している。攻撃者はこのUMAのアダプター部分の管理者権限を狙い、約52万ドルを不正に取得した。予測市場という、結果の公正さが何より問われる場で起きた不正だけに、その衝撃は大きかった。

Map Protocolのスマートコントラクトバグ

一方で、すべてが鍵の管理ミスというわけではない。ビットコインのクロスチェーンブリッジ「Map Protocol」では、5月21日にスマートコントラクトの重大なバグが悪用された。攻撃者はプログラム上のミスを突いて、1,000兆枚という天文学的な量のMAPOトークンを不正に鋳造(発行)した。これは鍵の流出ではなく、プログラムの欠陥が原因であり、攻撃のベクトルも多様化していることを示している。

これらの事例が示すのは、攻撃の入り口がコード・インフラ・人間と多岐にわたる中で、特に「人間と組織の管理」に関するセキュリティ対策が、業界全体の急務となっているという事実だ。

DeFiの「10億ドルの秘密」と今回の教訓

DeFiの「10億ドルの秘密」と今回の教訓

Cointelegraphの記事は、今回の事件を伝える中で、「DeFiの10億ドル規模の秘密、ハッキングに関与する内部関係者(DeFi’s billion-dollar secret: The insiders responsible for hacks)」という特集記事にも言及している。この過激なタイトルが示唆するのは、DeFiで発生するハッキング被害のかなりの割合が、外部からの純粋な技術的侵入ではなく、内部事情に精通した者や開発チーム自身の不手際、あるいは悪意によって引き起こされている可能性だ。

今回のStablRの事件も、その構図に当てはまるかもしれない。鍵を厳重に管理する手順や、複数人で署名しなければ取引を実行できない「マルチシグ」の仕組みを導入していたとしても、その運用ルール自体が形骸化していたり、担当者のセキュリティ意識が低かったりすれば、防御は紙装甲に等しくなる。

ユーザーが取るべき自衛策とは

今回の事件から、一般のユーザーは何を学び、どう行動すべきだろうか。最も重要なのは、どれほど有名で「安全そう」に見えるプロトコルであっても、信頼しすぎないことだ。特に、高い利回りを提供するマイナーなステーブルコインには、その利回りの背景に追加的なリスクが潜んでいると考えるべきである。

具体的な自衛策としては、以下の三つが挙げられる。第一に、一つのステーブルコインに資産を集中させないこと。第二に、利用するプロトコルの管理者権限の構造や、秘密鍵がどのように管理されているかについての開示情報を確認する習慣をつけること。第三に、万が一のディペグ時に速やかに行動できるよう、プロジェクトの公式発表やセキュリティ企業のアラートをリアルタイムで追う準備をしておくことだ。

テクノロジーは完璧でも、それを運用する人間と組織は完璧ではない。このシンプルな事実こそが、今回の約4.5億円の損失が私たちに突きつけた、最も重い教訓である。

この記事のポイント

  • ステーブルコイン発行プロトコル「StablR」がハッキングされ、約280万ドル(約4.5億円)が不正流出した。
  • この攻撃により、ユーロ連動のEURRと米ドル連動のUSDRが1ドルを割り込む「ディペグ」を発生させている。
  • 原因はスマートコントラクトのバグではなく、秘密鍵の漏洩や管理者権限の侵害である可能性が高い。
  • 管理者権限を狙ったハッキングは頻発しており、Volo VaultやPolymarketなども直近に被害を受けている。
  • ユーザーは特定のステーブルコインに資産を集中させず、プロジェクトの運営体制を確認する自衛策が不可欠である。
共有:

コメントする

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)