Trang tin Hàn Quốc Tokenpost trong bản tin đêm ngày 26 tháng 5 đã dẫn báo cáo từ PANews, cho biết một nhà phát hành stablecoin tự xưng là “nhà phát hành stablecoin châu Âu” mang tên Stable.al đã bị đánh cắp một khóa riêng từ ví đa chữ ký 1/3 trên Ethereum. Kẻ tấn công sau khi chiếm được quyền quản trị đã loại bỏ những người ký ban đầu, rồi phát hành vượt khoảng 8,35 triệu USDR và 4,5 triệu EURR, tổng giá trị danh nghĩa khoảng 13,5 triệu USD, trong đó khoảng 2,8 triệu USD đã được rút ra. Báo cáo cho biết USDR ngắn hạn mất chốt rồi phục hồi về khoảng 0,994 USD, trong khi EURR từng giảm xuống 0,548 USD, và cả hai stablecoin này vì vậy không còn đáp ứng yêu cầu dự trữ 1:1 theo MiCA.
Lưu ý quan trọng trước khi đọc tiếp: Tính đến thời điểm bài viết này được đăng, chúng tôi chưa thể xác minh độc lập danh tính nhà phát hành Stable.al, địa chỉ hợp đồng của hai token nêu trên, mã giao dịch phát hành vượt mức cũng như lộ trình rút tiền cụ thể — thông qua các nền tảng phân tích on-chain chính thống (nhãn Etherscan, Arkham, cảnh báo công khai của Chainalysis) hoặc các hãng truyền thông crypto tiếng Anh lớn (CoinDesk / The Block / DL News). Đường dẫn cố định đến bài gốc tiếng Trung của PANews cũng không được cung cấp trong bản tin. Phần dưới đây thảo luận theo khung giả định “nếu nội dung báo cáo là sự thật” về ý nghĩa tiềm năng đối với người dùng thẻ USDT ảo; khi sự thật chưa được xác lập, chúng tôi cho rằng độc giả không nên xem bất kỳ “khuyến nghị hành động” nào là chỉ thị chắc chắn.
Nếu đúng sự thật, người dùng thẻ USDT bị ảnh hưởng ra sao
Câu trả lời trực tiếp: Hầu như không có ảnh hưởng trực tiếp đến đại đa số người dùng thẻ USDT ảo.
Lý do rất đơn giản — tên hai token USDR và EURR gần như không xuất hiện trong danh sách hỗ trợ của các sàn giao dịch lớn hay nhà phát hành thẻ. Trong danh sách đồng coin nạp chính thức của MPCard, Wirex, Crypto.com Visa, Bybit Card, OKX Card — những lựa chọn được ban biên tập khuyến nghị — chúng tôi đều không thấy hai token này. Chúng không phải stablecoin phổ biến như USDT, USDC, DAI, cũng không phải các stablecoin euro như EURC, EURS, agEUR vốn đã được nhiều nhà phát hành thẻ châu Âu tích hợp.
Nói cách khác, dù sự kiện này 100% là sự thật, số dư, giao dịch chi tiêu và luồng rút tiền của người dùng thẻ nạp bằng USDT và chi tiêu qua kênh Visa/Mastercard không đi qua USDR/EURR, do đó không cần thực hiện bất kỳ hành động nào. Điều thực sự cần theo dõi là hiệu ứng bậc hai: nếu cơ quan quản lý châu Âu lấy đây làm cớ để đẩy nhanh tiến độ kiểm tra tại chỗ các nhà phát hành được cấp phép theo MiCA “EMT” (Electronic Money Token), thì các nhà phát hành thẻ thanh toán bằng euro hoặc mở cửa cho cư dân trong Khu vực Kinh tế châu Âu (EEA) có thể phải đối mặt với các cuộc thẩm vấn tuân thủ thường xuyên hơn trong 30–90 ngày tới, từ đó ảnh hưởng đến tốc độ mở thẻ cho người dùng mới.
Đối chiếu lịch sử: Phát hành vượt mức vs. Thủng dự trữ vs. Đánh cắp khóa riêng
Đặt báo cáo này trong bối cảnh phổ sự cố stablecoin, ranh giới về loại hình là rất quan trọng:
- Mất chốt USDC tháng 3/2023: Nguyên nhân là 3,3 tỷ USD dự trữ gửi tại Silicon Valley Bank, SVB bị tiếp quản gây rút tiền hàng loạt. Đây là “rủi ro lưu ký tài sản dự trữ”, không liên quan đến hacker, sổ sách dự trữ của Circle bản thân là có thực.
- Sụp đổ UST tháng 5/2022: Nguyên nhân là vòng xoáy tử thần của stablecoin thuật toán, vốn dĩ không có dự trữ 1:1.
- Poly Network bị đánh cắp 610 triệu USD tháng 8/2021: Là lỗ hổng quyền truy cập hợp đồng cầu nối chuỗi chéo, không liên quan đến cơ chế phát hành stablecoin.
- Lần này (nếu đúng): Thuộc dạng rò rỉ khóa riêng ở tầng cơ sở hạ tầng vận hành của nhà phát hành, dẫn đến chênh lệch giữa sổ sách on-chain và dự trữ thực tế — tức kẻ tấn công “in” ra các token không có dự trữ bảo chứng. Đây là loại rủi ro bị kiêng kỵ nhất theo khung Điều 36 MiCA quy định “dự trữ 1:1 + tách biệt + có thể hoàn đổi”.
Loại hình khác nhau, phản ứng quản lý cũng khác nhau. Vụ USDC dẫn đến phản ứng thúc đẩy đa dạng hóa dự trữ stablecoin (không phụ thuộc quá mức vào một ngân hàng duy nhất), vụ UST về cơ bản đẩy stablecoin thuật toán ra khỏi kênh phát thẻ được quản lý. Nếu sự kiện Stable.al được xác minh độc lập là có thật, phản ứng quản lý tương ứng ở cấp độ chính sách nhiều khả năng sẽ là tăng cường kiểm toán vận hành đối với các nhà phát hành nhỏ được cấp phép MiCA, bao gồm yêu cầu ngưỡng đa chữ ký, bắt buộc sử dụng HSM, giới hạn quyền tối đa của từng người ký.
Ranh giới tuân thủ trong khung MiCA
Văn bản chính thức EUR-Lex cho thấy các chương về EMT (Electronic Money Token) và ART (Asset-Referenced Token) của MiCA đã có hiệu lực từ ngày 30 tháng 6 năm 2024, còn chương về CASP (Crypto-Asset Service Provider) có hiệu lực từ ngày 30 tháng 12 năm 2024. Hai mốc thời gian này là sự thật công khai có thể xác minh độc lập.
Cụ thể với tình huống được báo cáo lần này:
- Bị cấm rõ ràng: Nhà phát hành EMT trong khung MiCA phải duy trì dự trữ 1:1. Nếu lượng lưu hành trên chuỗi vượt quá dự trữ thực tế, nhà phát hành đang vi phạm rõ ràng, cơ quan quản lý có quyền yêu cầu dừng phát hành và hoàn đổi.
- Vùng xám: Stable.al có thực sự nắm giữ giấy phép EMT theo MiCA hay không, và liệu tư cách tự xưng “nhà phát hành châu Âu” của họ có được cơ quan có thẩm quyền của bất kỳ quốc gia thành viên nào phê duyệt hay không — hai câu hỏi này chưa có bằng chứng độc lập trong tài liệu chúng tôi có thể tiếp cận. Khi đọc trang tuân thủ EU của chúng tôi, độc giả nên nhớ: nhiều dự án tự xưng “tuân thủ MiCA” thực ra chỉ đăng ký địa chỉ tại EU, chưa trải qua quy trình phê duyệt giấy phép EMT.
Các mốc đáng theo dõi tiếp theo
- Thông báo chính thức từ nhà phát hành: Trang web của Stable.al và tài khoản X/Twitter có công bố thông tin sự cố, địa chỉ on-chain, mã giao dịch bị đánh cắp hay không. Nếu sau một tuần không có hãng truyền thông tiếng Anh lớn nào theo dõi, bản thân tính chất sự kiện còn đáng ngờ.
- Xác minh on-chain: Địa chỉ hợp đồng ERC-20 của USDR và EURR có thể tìm thấy trên Etherscan không, địa chỉ người triển khai hợp đồng, và liệu sự kiện mint trong 30 ngày gần đây có xuất hiện đỉnh bất thường không.
- Phản ứng của cơ quan quản lý EU: Liệu Cơ quan Ngân hàng châu Âu (EBA) hoặc NCA của một quốc gia thành viên (như AMF của Pháp, BaFin của Đức, Ngân hàng Trung ương Ireland) có trong 4–6 tuần tới ban hành hướng dẫn hoặc biện pháp xử phạt liên quan đến lưu ký đa chữ ký cho nhà phát hành EMT không.
- Liệu stablecoin chính thống có bị ảnh hưởng không: Đường cung của EURC (Circle), EURS (STASIS), agEUR (Angle) trong giai đoạn sự kiện bùng phát có xuất hiện đợt hoàn đổi bất thường không. Nếu cung giảm nhanh hơn 1%, thị trường đang coi đây là tín hiệu hệ thống; nếu không, đây chỉ là một dự án nhỏ bị cô lập.
Khuyến nghị biên tập
- Người dùng đang dùng MPCard, Wirex, Crypto.com Visa và các thẻ USDT phổ biến khác: Không cần thực hiện bất kỳ hành động nào. Số dư của bạn dựa trên USDT (Tether), luồng nạp tiền và chi tiêu không đi qua USDR/EURR.
- Người dùng đang dùng stablecoin euro (EURC/EURS/agEUR) để thanh toán đăng ký châu Âu hoặc chi tiêu nội địa: Chỉ cần theo dõi kênh thông báo của nhà phát hành thẻ trong 30 ngày tới là đủ, hiện tại chưa cần chuyển đổi tài sản cơ bản. Để biết vị trí tuân thủ cụ thể của các nhà phát hành thẻ châu Âu, có thể tham khảo trang Tuân thủ EU và Lựa chọn thẻ tốt nhất cho cư dân châu Âu của chúng tôi.
- Người dùng dự định đăng ký thẻ phát hành nội địa tại châu Âu: Không cần trì hoãn vì lý do này, nhưng nên ưu tiên chọn nhà phát hành có thông tin cấp phép MiCA EMT công khai có thể tra cứu, thay vì các dự án nhỏ tự xưng tuân thủ.
- Về bản thân tin tức này: Cho đến khi đường dẫn bài gốc PANews, mã giao dịch on-chain và thông báo chính thức từ Stable.al cùng xuất hiện, hãy coi đây là báo cáo chờ xác minh chứ không phải sự thật đã được xác lập. Chúng tôi sẽ đăng một bài theo dõi riêng sau khi truyền thông tiếng Anh chính thống đưa tin hoặc bằng chứng on-chain xuất hiện.
Nếu vẫn còn thắc mắc về khái niệm cơ bản của stablecoin, có thể đọc Thẻ U là gì để hiểu mối liên hệ giữa luồng vốn thẻ USDT và việc lựa chọn stablecoin.