Według raportu CoinDesk, emitent stablecoinów euro/dolarowych StablR w ostatnich dniach awaryjnie zamroził swoje tokeny USDR i EURR. Powodem był atak, w którym napastnik złamał jeden ze skompromitowanych kluczy multisig i wybił tokeny bez pokrycia o wartości ok. 13,5 mln USD, a zanim atak wykryto, faktycznie spieniężył z tego ok. 2,8 mln USD. Cytowane źródła wskazują, że skompromitowana została struktura multisig typu 1-of-3 – wystarczyło przejąć jeden klucz prywatny, by dokonać emisji. Ten szczegół architektury nie został jeszcze bezpośrednio potwierdzony w oficjalnych dokumentach StablR, więc opieramy się na relacji z drugiej ręki. USDR i EURR to jedne z wcześniejszych stablecoinów w Europie, które ubiegały się o zgodność z ramami MiCAR EMT i publicznie się do niej odwoływały, dlatego incydent uderza w strukturę zaufania całego segmentu zgodnych stablecoinów w strefie euro.
Dla użytkowników kart wirtualnych USDT: brak bezpośredniego wpływu, ale warto rozróżnić karty
Wniosek na wstępie: zdecydowana większość użytkowników kart wirtualnych USDT nie musi podejmować żadnych działań. Incydent dotyczy tokenów USDR/EURR wyemitowanych przez StablR i nie ma żadnego technicznego powiązania z procesami rezerw i emisji USDT (Tether) czy USDC (Circle).
W podziale na karty:
- MPCard: MPCard Asia Elite, Global Business oraz wchodzący wkrótce na rynek MPCard Asia Business opierają się na doładowaniach USDT-TRC20 / ERC20 i nie mają żadnego powiązania z aktywami StablR. Posiadacze kart nie muszą nic robić.
- Bybit Card / OKX Card / Bitget Wallet Card: głównymi aktywami rozliczeniowymi są USDT, USDC i BTC – publiczne strony produktowe nie wymieniają USDR/EURR jako dostępnych aktywów do doładowania.
- Wirex: ponieważ obsługuje rozliczenia w stablecoinach EUR i ma znaczącą bazę użytkowników w UE, jest kartą wartą szczególnej uwagi w kontekście tego incydentu. Jeśli Wirex w przyszłości włączy do kanału EUR lub przejmie produkty StablR, może dojść do pośredniego ograniczenia płynności. Osobom oszczędzającym w EUR zaleca się na razie priorytetowe korzystanie z kanału fiat EUR zamiast kanału opartego na stablecoinach euro.
- Crypto.com Visa / Coinbase Card: dominującym aktywem jest USDC, bez bezpośredniego powiązania ze StablR.
Oczekiwany harmonogram:
- W ciągu 7 dni: StablR powinien opublikować raport z audytu po zdarzeniu oraz plan odszkodowań; niezamrożona część USDR/EURR w obrocie na rynku wtórnym może odejść od kursu oficjalnego.
- W ciągu 30 dni: konkurencyjne stablecoiny euro (EURC, EURCV itp.) mogą wykorzystać sytuację do przejęcia udziału w rynku; regulatorzy MiCAR mogą postawić nowe wymogi wobec architektury multisig emitentów EMT.
- W ciągu 90 dni: warto obserwować, czy StablR utrzyma licencję i wznowi pełną emisję oraz czy unijne kanały płatnicze zaczną wymagać jawnej architektury podpisów od emitentów EMT.
Porównanie historyczne: co łączy, a co różni ten przypadek z Wormhole 2022 i Multichain 2023
Incydent intuicyjnie przywodzi na myśl trzy historyczne przypadki:
- Kradzież 3,2 mld USD z mostu Wormhole w 2022 r. – również luka na poziomie kluczy/podpisów, ale o rząd wielkości większa skala. Różnica: Wormhole został zrekompensowany przez Jump Crypto, natomiast StablR wybrał ścieżkę „zamrożenie + faktyczna strata jedynie 2,8 mln USD”.
- Utrata kontroli nad węzłami MPC Multichain w 2023 r. – tak samo wskazuje na awarię zarządzania kluczami w systemie multisig / progowego podpisu. Podobieństwo: użytkownicy nie mają do czynienia z błędem w kontrakcie, lecz z porażką zarządzania kluczami; różnica: Multichain ostatecznie nie wznowił działalności, podczas gdy StablR wciąż dysponuje statusem zgodności z MiCAR jako kartą przetargową do restartu.
- Chwilowe odklejenie USDC od kursu do 0,87 po upadku SVB w 2023 r. – to problem po stronie aktywów rezerwowych, podczas gdy tu chodzi o problem po stronie emisji. Tamten przypadek to pytanie „gdzie podziały się pieniądze”, ten – „skąd wzięła się moneta”.
Kluczowa różnica: zamrożenie USDR/EURR było aktywnym użyciem scentralizowanej władzy emitenta, które ograniczyło straty – co akurat pokazuje, że „w pełni zdecentralizowany stablecoin” byłby w takiej sytuacji bardziej bezradny. To pośrednio korzystne dla posiadaczy USDT: Tether również zachowuje uprawnienia do zamrażania i wielokrotnie korzystał z nich w przypadkach kradzieży, sankcji czy prania pieniędzy – ten incydent po raz kolejny potwierdza praktyczną wartość takiego mechanizmu.
Regulacje i zgodność: „test wytrzymałości” MiCAR dopiero się zaczyna
StablR jest jednym z wcześniejszych emitentów EMT (elektronicznych tokenów pieniężnych) działających w ramach unijnego MiCAR. Od momentu stopniowego wejścia w życie MiCAR pod koniec 2024 r. przepisy szczegółowo regulują rezerwy, wykup i ujawnianie informacji, ale konkretne standardy techniczne dotyczące zarządzania kluczami prywatnymi emitenta, architektury multisig i bezpieczeństwa operacyjnego wciąż pozostają szarą strefą. Ten incydent z dużym prawdopodobieństwem stanie się bezpośrednim katalizatorem dla przyszłych standardów technicznych (RTS) Europejskiego Urzędu Nadzoru Bankowego (EBA) i krajowych organów nadzoru (np. holenderskiego DNB czy francuskiego ACPR).
Dla użytkowników z UE posiadających karty USDT krótkoterminowo nie należy spodziewać się wstrząsu na poziomie legislacyjnym – USDT w ramach MiCAR podlega ścieżce innej niż EMT, więc ten incydent nie zmienia jego granic zgodności. Ostrożność należy zachować wobec segmentu stablecoinów euro: jeśli korzystasz z karty obsługującej rozliczenia w stablecoinie EUR, zaleca się chwilowe przełączenie rozliczeń euro z powrotem na kanał fiat, do czasu doprecyzowania przepisów regulacyjnych.
Kluczowe momenty warte obserwacji w najbliższym czasie
- Termin publikacji raportu StablR po incydencie: zwykle po poważnym zdarzeniu w ciągu 7–14 dni pojawia się szczegółowy dokument PoR + audyt; jeśli po 30 dniach nadal nie ma niezależnego audytu, to sygnał ostrzegawczy.
- Czy EBA wprowadzi projekt standardów technicznych dotyczących zarządzania kluczami prywatnymi emitentów EMT: kierunek polityki wart obserwacji w tym kwartale.
- Wartość rezydualna USDR/EURR w obrocie na rynku wtórnym: jeśli niezamrożona część długoterminowo odbiega od kursu, oznacza to, że oficjalny kanał wykupu jest de facto zamknięty.
- Czy Tether i Circle aktywnie przyspieszą częstotliwość publikacji PoR: incydenty u konkurencji zwykle skłaniają głównych emitentów do zwiększenia transparentności.
Zalecenia redakcji
- Osoby posiadające karty wirtualne oparte na USDT/USDC, np. MPCard, Bybit Card, OKX Card: nie muszą podejmować żadnych działań. Incydent nie ma technicznego powiązania z Twoją kartą.
- Osoby korzystające ze stablecoinów euro (w tym m.in. USDR/EURR/EURC) do codziennych wydatków w euro: do czasu ogłoszenia audytu przez StablR zalecane jest priorytetowe korzystanie z kanału fiat EUR; przy zakładaniu nowej karty euro warto sięgnąć po rekomendacje kart dla rezydentów UE i tymczasowo unikać opcji rozliczeń w stablecoinie euro przez 30 dni.
- Osoby posiadające USDR/EURR na własnym saldzie: jeśli saldo w Twoim portfelu nie znajduje się na liście zamrożonych, zaleca się nie sprzedawać w pośpiechu – plan wykupu ogłoszony przez emitenta zwykle jest korzystniejszy niż wyprzedaż z dyskontem na rynku wtórnym.
- Zaawansowani użytkownicy śledzący kwestie zgodności: warto zarchiwizować ten incydent jako pierwszy praktyczny test ram MiCAR EMT – przyda się to przy śledzeniu przyszłych projektów standardów technicznych EBA. Warto przy okazji zerknąć na aktualne stanowisko na stronie zgodności dla UE oraz stronie zgodności dla Wielkiej Brytanii.
Na koniec podkreślamy: wszystkie liczby przywołane w tym artykule – struktura multisig (1-of-3), kwota ataku (13,5 mln USD wybicia / 2,8 mln USD spieniężenia) – pochodzą z pojedynczego raportu CoinDesk z drugiej ręki. Do momentu publikacji tego artykułu StablR nie opublikował jeszcze pełnego raportu po incydencie. Wszystkie konkretne liczby i szczegóły techniczne należy weryfikować w oficjalnych komunikatach StablR i niezależnym audycie.