StablR-Hack: 2,8 Mio. Dollar durch Key-Kompromittierung
Der Stablecoin-Emittent StablR wurde Opfer eines Exploits: Ein Angreifer erlangte Kontrolle über ein Multisig-Wallet und prägte 12,85 Mio. Token, die er zu einem Bruchteil des Werts verkaufte.
Veröffentlicht
25. Mai 2026
Ein Sicherheitsvorfall beim europäischen Stablecoin-Emittenten StablR hat am Wochenende zu erheblichen Kursverlusten seiner beiden Token geführt. Der auf X veröffentlichten Stellungnahme zufolge identifizierte das Team einen Exploit und arbeitet daran, den Schaden zu begrenzen. Die Blockchain-Sicherheitsfirma Blockaid bezifferte den bislang abgeflossenen Gegenwert auf rund 2,8 Millionen Dollar – bei einer ursprünglichen Token-Menge von über 12,8 Millionen Dollar Nennwert.
Private-Key-Kompromittierung als Einfallstor
Blockaids Analyse zufolge gelang es dem Angreifer, die private Schlüssel eines Owners eines Multisignatur-Wallets zu kompromittieren, das für das Minting der Stablecoins zuständig war. Da das Wallet nur drei Teilnehmer vorsah, reichte die Kontrolle über einen einzigen Schlüssel aus, um eine Transaktion zu signieren. Der Täter fügte sich selbst als neuen Owner hinzu, entfernte die übrigen Berechtigten und prägte anschließend 8,35 Millionen USDR sowie 4,5 Millionen EURR.
Aufgrund der dünnen Liquidität auf dezentralen Börsen tauschte er die geprägten Token im Wert von rund 10,4 Millionen Dollar gegen lediglich 1.115 ETH – umgerechnet etwa 2,8 Millionen Dollar. Die Differenz ist ein Lehrstück für die Risiken von Slippage bei großen Mengen in illiquiden Pools.
Depeg von EURR und USDR
Die Folgen für die Märkte waren unmittelbar: Der EURR (Marktkapitalisierung 14 Mio. Dollar) verlor rund 23 % seines Wertes und fiel von seiner Bindung bei 1,15 Dollar auf 88 Cent. Der USDR (Marktkapitalisierung 11 Mio. Dollar) brach sogar um 30 % auf 70 Cent ein. Beide Token sind als regulierte, besicherte Stablecoins konzipiert, deren Reserven in getrennten Konten liegen. StablR hatte im Dezember 2024 eine Investition von Tether erhalten, das damit seine Europa-Expansion vorantreiben wollte.
Häufung von Key-Exploits im Mai
Der Vorfall reiht sich ein in eine Serie von Angriffen auf DeFi-Protokolle in diesem Monat. Bereits zuvor waren THORChain, Verus Bridge, Echo Protocol und Polymarket Ziel von Exploits, die laut DeFiLlama jeweils auf kompromittierte private oder Admin-Keys zurückgingen. Allein in den letzten zwei Monaten traf es Volo Vault, Wasabi Perps, Echo Bridge und Polymarket auf diese Weise.
Am 21. Mai hatte zudem ein Exploit des Bitcoin-Cross-Chain-Brückenprotokolls Map Protocol zu einem Quadrillion Token Mint geführt, der den Token-Kurs um 96 % einbrechen ließ. Die wiederkehrende Muster: Multisig-Wallets mit zu geringer Schwellenanzahl oder schlecht geschützte private Keys bleiben ein Einfallstor, das Sicherheitsexperten seit Jahren kritisieren.
DACH-Perspektive
Für Anleger im deutschsprachigen Raum ist der Fall StablR nicht nur ein weiterer Warnhinweis auf operationelle Risiken bei Stablecoins. Da StablR in der EU regulierte Produkte anbietet und mit Tether kooperiert, steht das Vertrauen in regulierte Stablecoins insgesamt auf dem Prüfstand. Die BaFin und die europäische MiCA-Verordnung fordern von Emittenten robuste Sicherheitsvorkehrungen – die Frage, ob ein einzelner kompromittierter Key ausreicht, um Millionen an Kundenvermögen zu gefährden, wird die Aufsicht beschäftigen. Steuerlich relevant bleibt der Verlust für Nutzer, die im Zuge des Depegs gegen Dollar oder Euro getauscht haben: Die Differenz zum Kaufkurs könnte als privates Veräußerungsgeschäft nach § 22 EStG zu bewerten sein.