Stablecoin em euros em conformidade com a MiCA perde paridade e cai para US$ 0,85 após exploração de uma das três assinaturas múltiplas drenar milhões

EURR cai 24% e USDR cai 37% à medida que as duas stablecoins da StablR se desvinculam após exploração crítica

Relatos indicam que a violação não decorreu de uma falha no contrato inteligente. Os invasores teriam obtido acesso a uma única chave privada que controlava uma carteira com multisig 1 de 3 que governava a função de cunhagem da StablR. Com uma chave, o invasor removeu signatários legítimos, adicionou um endereço controlado e emitiu tokens sem lastro de garantia.

Às 8h10 (horário da costa leste) do domingo, a StablR abordou a questão no X, declarando:

“Atualização de segurança: identificamos uma exploração que afeta a StablR e estamos trabalhando ativamente para contê-la e minimizar o impacto. Proteger nossos usuários e seus fundos é nossa principal prioridade. Compartilharemos detalhes verificados e os próximos passos assim que possível.”

Analistas da Onchain estimaram que o invasor cunhou aproximadamente 8,35 milhões de USDR e 4,5 milhões de EURR antes de vendê-los em pares de negociação DEX com baixa liquidez. O valor extraído foi estimado em cerca de 1.115 ETH, equivalente a aproximadamente US$ 2,8 milhões, embora a emissão total de tokens sem lastro possa ter chegado a US$ 10,4 milhões.

A pressão de venda quebrou ambas as paridades rapidamente. O EURR caiu para US$ 0,85, uma queda de quase 24%. O USDR caiu ainda mais, sendo negociado a US$ 0,64, uma queda de quase 36% no acumulado do ano. O USDR atingiu uma mínima intradiária de US$ 0,40. Ambos os tokens também caíram acentuadamente em relação ao dólar americano, ao bitcoin e ao ethereum.

A StablR comercializa o EURR como uma stablecoin atrelada ao euro e o USDR como um token atrelado ao dólar, ambos posicionados como instrumentos regulamentados sob a estrutura de Mercados de Criptoativos (MiCA) da União Europeia, com divulgações de comprovação de reservas. A empresa faz a ponte entre os mercados financeiros tradicionais e os mercados financeiros descentralizados.

A empresa de segurança Blockaid sinalizou o incidente publicamente, descrevendo o limite de 1 em 3 como uma “falha fundamental de gestão e governança”. Muitos observadores comentaram que uma única chave comprometida não deveria ter o poder de emitir moeda, mas, supostamente, a configuração da StablR permitia exatamente isso.

“A emissão do EURR era controlada por uma implementação multisig de 1/3 (não segura), cujos signatários foram substituídos pelo suposto invasor”, escreveu uma conta do X no domingo. “Eles então continuaram a transferir e cunhar novos EURR para vender nos mercados secundários, levando a uma desvinculação do mercado secundário. Vale ressaltar que a StablR já havia declarado anteriormente que usa a plataforma de tokenização Hadron da Tether para viabilizar a emissão do EURR.”

A pessoa acrescentou:

“Se isso for uma exploração, é a primeira do tipo para uma stablecoin em conformidade com a MiCA.”

Embora a StablR tenha reconhecido a exploração por meio de suas contas oficiais no X, nenhuma análise técnica detalhada ou cronograma de recuperação estava disponível até o momento da redação deste artigo. Analistas da comunidade no X debateram estimativas de perdas que variavam de US$ 2,8 milhões a US$ 10,4 milhões ao longo do dia. A grande variação reflete a diferença entre o ethereum (ETH) extraído e o valor nominal total dos tokens sem lastro introduzidos no mercado.

O incidente se encaixa em um padrão observado entre emissores de stablecoins, em que o controle administrativo, e não o código do contrato, é o ponto de falha. Limites mais altos de assinaturas múltiplas, bloqueios temporários nas funções de cunhagem, limites de taxa e sistemas de detecção de anomalias são medidas de mitigação padrão para redes de stablecoins.

A estrutura regulatória MiCA, projetada para trazer responsabilidade aos emissores de stablecoins que operam na Europa, não parece ter exigido os controles operacionais que teriam evitado esse ataque. Reguladores e auditores podem enfrentar pressão para abordar padrões-chave de gestão de forma mais direta após este evento.

Os detentores de EURR e USDR devem acompanhar os canais oficiais da StablR para obter atualizações sobre qualquer queima planejada do estoque sem lastro, reposição de reservas ou compensação. As principais stablecoins em dólar americano, incluindo USDT e USDC, não foram afetadas.

O mercado mais amplo de stablecoins absorveu o evento sem contágio significativo, mas o incidente da StablR se soma a um histórico crescente de emissores menores e com foco regional que perdem o controle da paridade devido a falhas de governança, e não a vulnerabilidades de código.