Laut CoinDesk-Bericht hat der Euro-/USD-Stablecoin-Emittent StablR kürzlich seine beiden Token USDR und EURR notfallmäßig eingefroren. Grund war, dass ein Angreifer über einen kompromittierten Multisig-Key Token im Wert von rund 13,5 Mio. USD ohne Deckung geprägt und davon vor Entdeckung rund 2,8 Mio. USD tatsächlich in Bargeld umgesetzt hatte. Der Bericht verweist auf Quellen, wonach eine 1-von-3-Multisig-Struktur kompromittiert wurde – sobald ein beliebiger der drei privaten Schlüssel kontrolliert wird, lässt sich die Prägung durchführen. Dieses architektonische Detail wurde bislang nicht direkt durch offizielle StablR-Dokumente bestätigt und stützt sich auf Berichte aus zweiter Hand. USDR und EURR gehören zu den früheren Stablecoins, die in Europa eine Konformität mit dem MiCAR-EMT-Rahmen beantragt und öffentlich beansprucht haben. Der Vorfall betrifft daher das Vertrauensgefüge des gesamten euroraumweiten Segments regulierungskonformer Stablecoins.
Für USDT-Kartennutzer: Grundsätzlich keine direkten Auswirkungen, aber je nach Karte unterschiedlich
Vorab das Fazit: Die überwiegende Mehrheit der USDT-Kartennutzer muss nichts unternehmen. Der Vorfall betrifft USDR/EURR von StablR und hat technisch keinerlei Verbindung zu den Reserven- und Prägeprozessen von USDT (Tether) oder USDC (Circle).
Nach Karten aufgeschlüsselt:
- MPCard: MPCard Asia Elite, Global Business sowie die bald startende Asia Business setzen durchgängig auf Einzahlungen via USDT-TRC20/ERC20 und haben keinerlei Anbindung an StablR-Assets. Karteninhaber müssen nichts tun.
- Bybit Card / OKX Card / Bitget Wallet Card: Abrechnungsassets sind vorwiegend USDT, USDC und BTC; auf den öffentlichen Produktseiten sind USDR/EURR nicht als verfügbare Einzahlungs-Assets gelistet.
- Wirex: Da diese Karte EUR-Stablecoin-Abrechnungen unterstützt und eine bedeutende Nutzerbasis in der EU hat, ist sie unter den betrachteten Karten am ehesten von Interesse. Sollte Wirex künftig ein StablR-Produkt in den EUR-Kanal integrieren oder übernehmen, könnte es indirekt zu einer Verknappung der Liquidität kommen. Nutzern mit EUR-Sparbedarf wird empfohlen, vorübergehend den Fiat-EUR-Kanal statt eines EUR-Stablecoin-Kanals zu bevorzugen.
- Crypto.com Visa / Coinbase Card: Hier dominiert USDC, ohne direkten Bezug zu StablR.
Zeitliches Fenster zur Beobachtung:
- Innerhalb von 7 Tagen: StablR sollte einen Bericht zur Nachuntersuchung sowie einen Entschädigungsplan veröffentlichen; nicht eingefrorene USDR/EURR-Restbestände am Sekundärmarkt könnten sich vom offiziellen Kurs abkoppeln.
- Innerhalb von 30 Tagen: EUR-Stablecoin-Konkurrenten (EURC, EURCV u. a.) könnten die Gelegenheit nutzen, um Marktanteile zu gewinnen; MiCAR-Aufsichtsbehörden könnten neue Anforderungen an die Multisig-Architektur von EMT-Emittenten stellen.
- Innerhalb von 90 Tagen: Zu beobachten, ob StablR den Lizenzerhalt und eine Neuausgabe abschließt und ob EU-Zahlungskanäle von EMT-Emittenten eine Offenlegung der Signaturarchitektur verlangen.
Historischer Vergleich: Parallelen und Unterschiede zu Wormhole 2022 und Multichain 2023
Der Vorfall erinnert instinktiv an drei historische Fälle:
- Der Wormhole-Bridge-Hack 2022 mit 320 Mio. USD Schaden – ebenfalls eine Schwachstelle auf Schlüssel-/Signatur-Ebene, allerdings eine Größenordnung höher. Der Unterschied: Wormhole wurde von Jump Crypto vollständig entschädigt, während StablR den Weg “Einfrieren + nur 2,8 Mio. USD tatsächlicher Verlust” wählte.
- Der Multichain-MPC-Node-Kontrollverlust 2023 – ebenfalls ein Fall von versagender Multisig-/Schwellenwert-Signatur-Schlüsselverwaltung. Gemeinsamkeit: Nutzer stehen nicht einem Smart-Contract-Bug, sondern einem Versagen der Schlüsselgovernance gegenüber. Unterschied: Multichain konnte den Betrieb letztlich nicht wieder aufnehmen, während StablR weiterhin über einen MiCAR-Compliance-Status als Startkapital für einen Neuanfang verfügt.
- Die kurzzeitige USDC-Entkopplung auf 0,87 durch die SVB-Pleite 2023 – hierbei handelte es sich um ein Problem auf Seiten der Reserve-Assets, während der aktuelle StablR-Vorfall die Prägungsseite betrifft. Ersteres ist die Frage “Wohin ist das Geld verschwunden?”, Letzteres “Woher kommt der Token?”
Der entscheidende Unterschied: Das Einfrieren von USDR/EURR wurde durch aktive Ausübung zentraler Emittenten-Befugnisse erreicht, um den Schaden einzudämmen – gerade dies zeigt, dass “vollständig dezentrale Stablecoins” in solchen Situationen eher passiv bleiben. Für USDT-Halter ist dies ein indirekter Vorteil: Auch Tether behält Einfrierbefugnisse und hat diese in der Vergangenheit mehrfach bei Diebstahl, Sanktionen und Geldwäsche-Szenarien genutzt. Der aktuelle Vorfall bestätigt erneut den praktischen Nutzen dieses Mechanismus.
Regulierung und Compliance: Der “Stresstest” für MiCAR steht erst am Anfang
StablR gehört zu den frühen EMT-Emittenten (E-Geld-Token) im Rahmen des EU-MiCAR-Regelwerks. Seit MiCAR Ende 2024 in stufenweise Kraft trat, wurden detaillierte Vorgaben zu Reservevermögen, Rücknahme und Offenlegung erlassen – konkrete technische Standards zur Governance privater Schlüssel, zur Multisig-Architektur und zur operativen Sicherheit von Emittenten bleiben jedoch weitgehend eine Grauzone. Dieser Vorfall dürfte mit hoher Wahrscheinlichkeit ein direkter Auslöser für nachfolgende technische Standards (RTS) der Europäischen Bankenaufsichtsbehörde (EBA) sowie der nationalen zuständigen Behörden (z. B. der niederländischen DNB, der französischen ACPR) werden.
Für Nutzer in der EU, die USDT-Karten halten, ist kurzfristig auf gesetzgeberischer Ebene keine Erschütterung zu erwarten – USDT läuft im MiCAR-Rahmen auf einem Nicht-EMT-Pfad, und der Vorfall verändert diese Compliance-Grenzen nicht. Vorsicht ist im Segment der EUR-Stablecoins geboten: Wer aktuell eine Karte nutzt, die EUR-Stablecoin-Abrechnung unterstützt, sollte die EUR-Abrechnung vorübergehend auf den Fiat-Kanal umstellen, bis präzisere Regulierungsvorgaben veröffentlicht sind.
Wichtige Meilensteine zur weiteren Beobachtung
- Zeitpunkt der Veröffentlichung des StablR-Nachuntersuchungsberichts: Nach bedeutenden Vorfällen erscheint üblicherweise innerhalb von 7–14 Tagen ein detaillierter PoR- plus Prüfbericht; sollte nach 30 Tagen weiterhin keine unabhängige Prüfung vorliegen, ist Vorsicht geboten.
- Ob die EBA einen Entwurf technischer Standards zur Schlüsselgovernance von EMT-Emittenten vorlegt: politische Entwicklungen im laufenden Quartal.
- Restbestand von USDR/EURR am Sekundärmarkt: Sollte der nicht eingefrorene Anteil dauerhaft entkoppelt bleiben, bedeutet dies faktisch die Schließung des offiziellen Rücknahmekanals.
- Ob Tether und Circle aktiv ihre PoR-Taktung verstärken: Vorfälle bei Wettbewerbern führen üblicherweise dazu, dass etablierte Emittenten ihre Offenlegung ausbauen.
Redaktionelle Einschätzung
- Nutzer von USDT-/USDC-dominierten Karten wie MPCard, Bybit Card, OKX Card: Kein Handlungsbedarf. Der Vorfall hat keine technische Verbindung zu Ihrer Karte.
- Nutzer, die EUR-Stablecoins (u. a. USDR/EURR/EURC) für laufende EUR-Ausgaben verwenden: Bis StablR den Prüfbericht abgeschlossen hat, empfiehlt sich vorrangig der Fiat-EUR-Kanal. Wer eine neue EUR-Karte plant, kann sich an der Kartenempfehlung für EU-Einwohner orientieren und die EUR-Stablecoin-Abrechnungsoption für 30 Tage vorübergehend meiden.
- Nutzer mit USDR/EURR-Bestand: Sollte Ihr Wallet-Guthaben nicht auf der Einfrier-Liste stehen, wird empfohlen, nicht überstürzt zu verkaufen – der vom Emittenten angekündigte Rücknahmeplan liegt in der Regel über dem Abschlag, den ein Verkauf am Sekundärmarkt erzielen würde.
- Fortgeschrittene Nutzer mit Fokus auf Compliance: Es empfiehlt sich, diesen Vorfall als ersten Praxisfall des MiCAR-EMT-Rahmens zu dokumentieren – nützlich für die künftige Bewertung von EBA-Standardentwürfen. Ein Abgleich mit der aktuellen Einschätzung auf der EU-Compliance-Seite und der UK-Compliance-Seite lohnt sich.
Abschließend: