- Exploit drenou entre US$ 2,8 milhões e US$ 10 milhões da emissora
- EURR e USDR perderam mais de 20% da paridade após o ataque
- Falha estava em multisig de cunhagem que exigia apenas 1 de 3 assinaturas
A emissora europeia StablR, investida pela Tether, sofreu um exploit no sábado que esvaziou seu contrato de cunhagem e derrubou a paridade de duas stablecoins regulamentadas. Os tokens EURR, atrelado ao euro, e USDR, atrelado ao dólar, recuaram mais de 20% em relação às moedas-referência, segundo múltiplos observadores on-chain. O caso envolve stablecoin com pretensão de ser totalmente lastreada.
As estimativas de perdas divergem. A firma de segurança Blockaid, que disparou o alerta inicial, calcula cerca de US$ 2,8 milhões desviados. Já Marcin Kazmierczak, cofundador da RedStone Oracles, e a conta de monitoramento PharosWatch projetam algo próximo de US$ 10 milhões. A diferença ainda não foi conciliada e o incidente seguia em desenvolvimento quando este texto foi publicado.
Falha no multisig da stablecoin
Assim, o vetor de ataque foi uma chave privada comprometida no multisig responsável por autorizar a emissão de novas unidades. Pela configuração, bastava 1 assinatura entre 3 autorizadas para liberar a cunhagem — um desenho que reduz fricção operacional, mas elimina o efeito de freio que multisigs costumam oferecer.
Kazmierczak resumiu o problema em uma frase: “mais um ataque de comprometimento de chave, desta vez em um multisig de cunhagem 1 de 3”. A PharosWatch acrescentou que parte dos recursos foi movimentada via CCTP, o protocolo de transferência cross-chain da Circle, com destino à Noble, blockchain do ecossistema Cosmos. O investigador on-chain ZachXBT confirmou o ataque, segundo a mesma fonte. A Blockaid divulgou os endereços dos dois contratos comprometidos na Ethereum.
Assim, em comunicado publicado no X, a StablR confirmou ter “identificado um exploit” e disse trabalhar para “conter e minimizar o impacto”. A empresa prometeu compartilhar “detalhes verificados e próximos passos” assim que possível, mas até a publicação não havia divulgado dados on-chain adicionais nem plano de ressarcimento aos detentores dos tokens.
Contexto regulatório na Europa
Assim, a StablR se posicionava como emissora 100% colateralizada e em conformidade com as regras europeias, alinhada ao avanço do framework MiCA. Projetos do tipo brotaram nos últimos meses, tentando ocupar o vácuo deixado pela retirada do USDT das principais exchanges europeias por exigência regulatória.
O timing é especialmente ruim para o segmento. O Banco Central Europeu tem reiterado preocupação com a expansão dessas moedas digitais e vê risco de fuga de depósitos bancários. Além disso, um caso de exploit em uma emissora que se vendia como referência de conformidade reforça o argumento das autoridades europeias e pode acelerar exigências de auditoria sobre chaves de cunhagem. Leitores que acompanham o tema podem revisar a posição do BCE sobre stablecoins em euro.
Padrão de ataques em fim de semana
Assim, o episódio segue um padrão observado ao longo do ano: incidentes concentrados em sábados e domingos, quando equipes de resposta operam reduzidas. “Parece que nenhum fim de semana deste ano passa sem um hack”, comentou Kazmierczak. Casos recentes como o ataque à Polymarket via chave privada reforçam a recorrência do vetor.
O envolvimento da Tether, que fez aporte estratégico na StablR em 2024, também coloca a maior emissora do setor em uma posição desconfortável de reputação. O grupo terá de explicar a investidores e parceiros como uma controlada parcial operava com arquitetura de assinaturas considerada frágil. Detentores de EURR e USDR foram orientados a aguardar pronunciamento oficial antes de tomar qualquer decisão envolvendo os ativos.
