Dwa stablecoiny z licencją MiCA zaatakowane, oderwały się od pega! Inwestorzy rzucili się do wyprzedaży
Stablecoiny EURR i USDR maltańskiej spółki StablR oderwały się od swojego pega do kursu odpowiednio euro i dolara po włamaniu, w ramach którego napastnik wybił 8,35 mln sztuk nowych tokenów USDR oraz 4,5 mln kryptowalut EURR bez pokrycia, a następnie zamienił je na 1115 ETH na giełdach DEX. Według raportu firmy bezpieczeństwa Blockaid, która jako pierwsza nagłośniła sprawę razem ze śledczym on-chain ZachemXBT, realne straty sięgają około 2,8 mln dolarów, choć nominalna wartość świeżo wyemitowanych tokenów przekraczała 10 mln USD.
Duży exploit na stablecoinach. Winne były klucze
Wbrew pierwszym doniesieniom które dotarły na platformie X do uszu opinii publicznej incydent nie wynikał z błędu w smart kontrakcie. Blockaid ustalił, że napastnik przejął klucz prywatny jednego z administratorów portfela wielopodpisowego odpowiedzialnego za emisję tokenów. System StablR teoretycznie miał trzech sygnatariuszy, jednak do zatwierdzenia transakcji wystarczał podpis tylko jednego z nich. Po wejściu do panelu administracyjnego włamywacz dopisał własne konto administratora i usunął dotychczasowych, a następnie uruchomił niekontrolowaną emisję obu stablecoinów. Portfel napastnika został wcześniej zasilony przez Cross-Chain Transfer Protocol (CCTP, międzyłańcuchowy protokół transferu) w sieci Noble, co jest dziś typową ścieżką prania środków przed atakiem.
Skutki na rynku widać było natychmiast. EURR, który normalnie trzyma się okolicy kursu 1,15 USD, w trakcie ataku zjechał do około 0,88 USD, czyli stracił ponad jedną piątą swojej wartości. USDR, indeksowany do dolara, zanurkował do mniej więcej 0,70 USD, po czym częściowo odrobił stratę. ZachXBT poinformował na kanale Telegram, że udało mu się zablokować „sześciocyfrową” kwotę, a zespół StablR jeszcze trzy godziny po wybuchu afery nie zareagował — zdaniem śledczego prawdopodobnie z powodu faktu że incydent miał miejsce w godzinach nocnych w Europie.
Awaria zaufania ważniejsza niż dziura w bilansie
Strata 2,8 mln dolarów nie jest jak na sektor kryptowalut imponująca, ale dużo gorsze są straty wizerunkowe. Emitent obiecywał inwestorom i użytkownikom, że podaż stablecoinów jest pod kontrolą, a każda jednostka EURR i USDR ma pokrycie w realnych rezerwach. Nieautoryzowana emisja niemal 13 mln tokenów rozsadza tę narrację od środka, nawet jeśli fundusze firmy są teoretycznie bezpieczne. Stąd tak silna i nierówna reakcja kursu — traderzy uznali, że oba tokeny niosą ze sobą zbyt duże ryzyko i rozpoczęli masową wyprzedaż.
StablR powstał w 2023 r. i ma siedzibę na Malcie. W lipcu 2024 r. uzyskał licencję instytucji pieniądza elektronicznego (EMI) od maltańskiego nadzoru MFSA, co pozwoliło mu emitować stablecoiny zgodne z unijnym rozporządzeniem MiCA (Markets in Crypto-Assets). W grudniu 2024 r. spółkę dofinansował sam gigant Tether, obejmując „znaczący pakiet udziałów” i włączając emisję EURR oraz USDR do swojej platformy tokenizacyjnej Hadron. Spółka pozycjonowała się jako regulowana, transparentna alternatywa dla USDT na rynku europejskim.
Atak jest sygnałem, że nawet w pełni licencjonowane, „compliance-first” projekty pozostają tak silne jak ich procedury zarządzania kluczami. Skoro do wyprowadzenia środków u emitenta pod nadzorem MFSA wystarczył jeden zhakowany podpis spośród trzech, regulator będzie miał o czym rozmawiać z zarządem StablR. Inwestorzy będą natomiast pilnie obserwować, czy spółka pokryje straty z własnego kapitału — a wraz z nią cały segment euro-stablecoinów, który już dzisiaj jest niszą wartą zaledwie kilkaset milionów dolarów.
Przeczytaj też inne newsy ważne dla rynku kryptoaktywów:
Akcje spółki z GPW biją rekordy jak Intelu czy Nvidii. To pionier branży kosmicznej
