- Atacantes cunharam 8,35 milhões em USDR e 4,5 milhões em EURR sem lastro
- Estrutura multisig 1-de-3 permitiu burlar verificação de colateral em euros
- EURR caiu a US$ 0,86 e invasores extraíram cerca de 1.115 ETH
A emissora europeia StablR sofreu um exploit que resultou na cunhagem de stablecoins sem qualquer reserva equivalente, expondo fragilidades na camada de governança do projeto. O ataque drenou aproximadamente US$ 10,4 milhões em liquidez, segundo dados on-chain divulgados após o incidente.
Os invasores não exploraram falhas nos contratos inteligentes em si. O ponto de entrada foi a estrutura administrativa de emissão — uma configuração multisig de apenas 1-de-3 assinaturas, considerada permissiva demais para um emissor de tokens lastreados em moeda fiduciária.
Com esse acesso, foi possível ignorar o procedimento de verificação de colateral em euros. Os atacantes cunharam 8,35 milhões de USDR e outros 4,5 milhões de EURR, ambos sem qualquer depósito correspondente em reserva.
Como o ataque quebrou a paridade
Assim que a oferta inflada entrou em circulação, a pressão vendedora derrubou as cotações em pools descentralizadas com liquidez limitada. O EURR recuou para perto de US$ 0,86, enquanto o USDR perdeu a faixa de US$ 0,80 em poucos minutos.
A janela curta foi suficiente para os invasores trocarem os tokens recém-criados por ativos líquidos. Cerca de 1.115 ETH foram extraídos antes que provedores de liquidez conseguissem retirar suas posições. Em condições normais de mercado, esse volume teria sido absorvido com menor impacto — mas a profundidade limitada das pools amplificou a queda.
Curiosamente, o sistema de lastro em reservas permaneceu tecnicamente intacto. O problema não foi insolvência, mas perda de controle sobre quem pode emitir tokens. Isso recoloca uma discussão antiga no setor: quando a chave administrativa concentra poder demais, o lastro deixa de garantir a paridade no curto prazo. Detalhes técnicos foram divulgados em comunicado da própria StablR no X.
O paralelo com outros incidentes em 2025
O caso StablR não é isolado. Nas últimas semanas, exploits envolvendo chaves privadas comprometidas atingiram outros protocolos do setor. A Polymarket perdeu cerca de US$ 520 mil em POL e USDC em ataque semelhante, no qual a falha não estava no código, mas no controle operacional do acesso.
O padrão se repete: emissores e protocolos com governança centralizada em poucas assinaturas se tornam alvos prioritários. A indústria de stablecoins, que cresceu ancorada na narrativa de reservas auditadas, descobre agora que a integridade do peg depende tanto da custódia das chaves quanto do dinheiro guardado em bancos parceiros.
Impacto para o investidor brasileiro
Para o mercado local, o episódio tem leituras práticas. Stablecoins menores, especialmente as denominadas em euro, raramente aparecem nas carteiras de exchanges brasileiras — mas o tema afeta diretamente a discussão sobre stablecoins em real, hoje em fase inicial de regulação pelo Banco Central.
O BCB trabalha em regras para emissores de moeda eletrônica e stablecoins dentro do marco regulatório das criptos. Episódios como o da StablR tendem a reforçar a cobrança por exigências mínimas de governança: limites para multisig administrativa, segregação de chaves de emissão e auditoria contínua de permissões. Recentemente, o próprio Banco Central Europeu manifestou preocupação com a expansão de stablecoins em euro, citando justamente riscos sistêmicos.
No plano global, o capital institucional já mostra sinais de migração. Tesourarias corporativas e mesas de OTC privilegiam emissores com controles mais rígidos, como USDC e USDT, que dominam o setor. Dados recentes mostram que as cinco maiores stablecoins concentram 88% do mercado, e a tendência é de aprofundamento dessa concentração após cada novo exploit.
A StablR ainda não divulgou cronograma de ressarcimento aos detentores afetados nem detalhou se pretende reformular a estrutura multisig para um modelo mais robusto, como 3-de-5 ou superior.
