Koreański serwis Tokenpost w nocnym biuletynie z 26 maja cytuje doniesienia PANews, według których Stable.al — podmiot przedstawiający się jako „europejski emitent stabilnych walut” — stał się ofiarą kradzieży jednego klucza prywatnego z portfela multisig 1/3 na Ethereum. Atakujący miał uzyskać uprawnienia administracyjne, usunąć pierwotnych sygnatariuszy i nadmiernie wyemitować około 8,35 mln USDR oraz 4,5 mln EURR, co daje łączną wartość nominalną ok. 13,5 mln USD, z czego ~2,8 mln USD miało zostać upłynnione. Według raportu USDR chwilowo stracił peg, po czym wrócił do ok. 0,994 USD, natomiast EURR spadł w pewnym momencie do 0,548 USD. Oba tokeny miały tym samym przestać spełniać wymóg MiCA dotyczący rezerwy 1:1.
Ważne zastrzeżenie wstępne: do chwili publikacji tego artykułu nie byliśmy w stanie niezależnie zweryfikować tożsamości emitenta Stable.al, adresów kontraktów obu tokenów, hashy transakcji nadmiernej emisji ani ścieżki upłynnienia — ani na głównych platformach analitycznych on-chain (tagi Etherscan, Arkham, publiczne alerty Chainalysis), ani w anglojęzycznych głównonurtowych mediach krypto (CoinDesk / The Block / DL News). W biuletynie nie podano też bezpośredniego linku do oryginalnego chińskiego artykułu PANews. Poniżej omawiamy potencjalne konsekwencje dla użytkowników wirtualnych kart USDT w ramach analizy hipotetycznej — przy założeniu, że doniesienia są prawdziwe. Gdy fakty nie są jeszcze ustalone, uważamy, że czytelnicy nie powinni traktować żadnych „zaleceń operacyjnych” jako pewnych wskazówek.
Gdyby informacje się potwierdziły — jaki wpływ na użytkowników kart USDT?
Bezpośrednia odpowiedź: dla zdecydowanej większości użytkowników wirtualnych kart USDT praktycznie żaden.
Powód jest prosty — tokeny USDR i EURR nie figurują na listach obsługiwanych walut głównych giełd ani emitentów kart. Na oficjalnych listach walut doładowania kart wyróżnionych przez naszą redakcję — MPCard, Wirex, Crypto.com Visa, Bybit Card, OKX Card — nie widnieje żaden z tych tokenów. Nie są to ani głównonurtowe stablecoiny takie jak USDT, USDC czy DAI, ani eurostablecoiny akceptowane przez wielu europejskich emitentów kart, jak EURC, EURS czy agEUR.
Innymi słowy, nawet gdyby zdarzenie w 100% się potwierdziło, saldo, transakcje i ścieżki wypłat użytkowników kart zasilanych USDT i korzystających z kanałów Visa/Mastercard nie przechodzą przez USDR/EURR — nie są wymagane żadne działania. Na co naprawdę warto zwrócić uwagę, to efekty drugiego rzędu: jeśli europejskie organy regulacyjne wykorzystają to zdarzenie jako okazję do przyspieszenia inspekcji na miejscu u małych emitentów posiadających licencję MiCA jako EMT, emitenci kart rozliczający się w euro lub obsługujący rezydentów EOG mogą w ciągu 30–90 dni zetknąć się z intensywniejszymi zapytaniami compliance, co może wpłynąć na tempo wydawania kart nowym użytkownikom.
Odniesienie historyczne: nadmiernia emisja vs. dziura w rezerwach vs. kradzież klucza prywatnego
Umiejscowienie tego incydentu na mapie wypadków związanych ze stablecoinami wymaga precyzji pojęciowej:
- Marzec 2023 — depeg USDC: przyczyną było przechowywanie 3,3 mld USD rezerw w Silicon Valley Bank i panika po jego przejęciu. Ryzyko po stronie depozytariusza rezerw, brak związku z hakerami — faktyczne rezerwy Circle były realne.
- Maj 2022 — upadek UST: śmiertelna spirala algorytmicznego stablecoina, który nigdy nie miał rezerwy 1:1.
- Sierpień 2021 — kradzież 610 mln USD z Poly Network: luka w uprawnieniach kontraktu mostu cross-chain, niezwiązana z mechanizmem emisji stablecoinów.
- Niniejszy przypadek (jeśli prawdziwy): wyciek klucza prywatnego na poziomie infrastruktury operacyjnej emitenta, powodujący rozbieżność między stanami on-chain a rzeczywistymi rezerwami — atakujący de facto „wydrukował” tokeny nieobsługiwane przez rezerwy. To właśnie rodzaj ryzyka, któremu zapobiega art. 36 MiCA określający wymogi rezerwy 1:1, segregacji i możliwości umorzenia.
Typ incydentu determinuje reakcję regulacyjną. Po depeegu USDC regulatorzy skoncentrowali się na dywersyfikacji rezerw stablecoinów (odejście od uzależnienia od pojedynczego banku). Po upadku UST algorytmiczne stablecoiny zostały w zasadzie wykluczone z regulowanych kanałów kart płatniczych. Gdyby zdarzenie Stable.al zostało niezależnie potwierdzone, reakcja regulacyjna prawdopodobnie skupiłaby się na wzmocnieniu audytu operacyjnego małych emitentów z licencją MiCA — w tym wymogów dotyczących progów multisig, obowiązkowego stosowania HSM i limitów uprawnień pojedynczego sygnatariusza.
Granice compliance w ramach MiCA
Oficjalny tekst EUR-Lex wskazuje, że rozdziały MiCA dotyczące EMT (tokenów pieniądza elektronicznego) i ART (tokenów powiązanych z aktywami) weszły w życie 30 czerwca 2024 r., natomiast rozdział dotyczący CASP (dostawców usług w zakresie kryptoaktywów) — 30 grudnia 2024 r. Obie daty są niezależnie weryfikowalnymi faktami publicznymi.
W kontekście omawianego zdarzenia:
- Jednoznaczny zakaz: emitenci EMT w ramach MiCA muszą utrzymywać rezerwy w stosunku 1:1. Jeśli wolumen w obiegu on-chain przekracza faktyczne rezerwy, emitent jest w oczywistej sprzeczności z przepisami, a organ regulacyjny ma prawo nakazać wstrzymanie emisji i umorzeń.
- Szara strefa: czy Stable.al faktycznie posiada licencję MiCA EMT i czy jego deklarowany status „europejskiego emitenta” uzyskał autoryzację właściwego organu krajowego — na obie te kwestie nie mamy niezależnych dowodów z dostępnych nam materiałów. Przeglądając naszą stronę o compliance w UE pamiętaj: wiele projektów podających się za „zgodne z MiCA” jedynie posiada siedzibę w UE, nie przechodząc przez proces zatwierdzania licencji EMT.
Punkty obserwacyjne na najbliższe tygodnie
- Oficjalne komunikaty emitenta: czy strona internetowa Stable.al i konto X/Twitter opublikują ujawnienie incydentu wraz z adresami on-chain i hashem skradzionej transakcji. Jeśli w ciągu tygodnia żadne głównonurtowe anglojęzyczne medium nie podejmie tematu, wiarygodność zdarzenia jako takiego staje pod znakiem zapytania.
- Weryfikacja on-chain: czy adresy kontraktów ERC-20 USDR i EURR można znaleźć w Etherscan, jaki jest adres deployer kontraktu i czy w zdarzeniach mint w ciągu ostatnich 30 dni pojawia się anomalny szczyt.
- Reakcja regulatorów UE: czy Europejski Urząd Nadzoru Bankowego (EBA) lub krajowy właściwy organ (np. AMF we Francji, BaFin w Niemczech, Centralny Bank Irlandii) wyda w ciągu 4–6 tygodni wytyczne lub decyzję dotyczącą przechowywania kluczy multisig przez emitentów EMT.
- Czy głównonurtowe stablecoiny są dotknięte: czy krzywe podaży EURC (Circle), EURS (STASIS) i agEUR (Angle) wykazują anomalny wzrost umorzeń w okresie eskalacji incydentu. Szybki spadek podaży o ponad 1% sugerowałby, że rynek traktuje zdarzenie jako sygnał systemowy; brak takiej reakcji wskazywałby na odizolowany, drobny projekt.
Rekomendacje redakcji
- Użytkownicy głównonurtowych kart USDT — MPCard, Wirex, Crypto.com Visa i innych: nie są wymagane żadne działania. Twoje saldo oparte jest na USDT (Tether), a ścieżki doładowania i płatności nie przechodzą przez USDR/EURR.
- Użytkownicy korzystający z eurostablecoinów (EURC/EURS/agEUR) do europejskich subskrypcji lub lokalnych płatności: wystarczy przez najbliższe 30 dni obserwować kanały komunikacyjne emitenta karty — na razie nie ma potrzeby zmiany aktywów bazowych. Szczegółowe informacje o pozycji compliance europejskich emitentów kart znajdziesz na naszych stronach compliance UE oraz najlepsze karty dla rezydentów UE.
- Osoby planujące złożyć wniosek o nową kartę wydaną lokalnie w Europie: nie musisz opóźniać decyzji, ale zalecamy priorytetowe wybieranie emitentów z publicznie dostępnymi informacjami o licencji MiCA EMT, a nie małych projektów „deklarujących zgodność z przepisami”.
- Co do samej tej informacji: dopóki nie pojawi się jednocześnie bezpośredni link do oryginalnego artykułu PANews, hash transakcji on-chain i oficjalny komunikat Stable.al — traktuj ją jako raport oczekujący na weryfikację, nie jako fakt dokonany. Po podjęciu tematu przez głównonurtowe anglojęzyczne media lub po pojawieniu się dowodów on-chain opublikujemy osobny artykuł z aktualizacją.
Jeśli masz pytania dotyczące podstawowych pojęć związanych ze stablecoinami, przeczytaj artykuł Czym jest karta U, który wyjaśnia związek między ścieżką finansowania kart USDT a doborem stablecoinów.