#TradeCFDWinGold Protocolo de Stablecoin StablR Sofre Grande Exploração; EURR e USDR Perdem 20% de Peg

24 DE MAIO DE 2026 — O protocolo de stablecoin StablR foi atingido por uma exploração devastadora de governança no fim de semana, resultando na tomada maliciosa de seus contratos de tokens e em um grande evento de cunhagem não autorizada. O atacante conseguiu substituir as permissões de proprietário do protocolo, posteriormente cunhando e vendendo milhões de dólares em suas stablecoins nativas Euro (EURR) e USD (USDR), levando ambos os ativos a uma desvalorização abrupta de 20%.
A Anatomia do Ataque
De acordo com dados de rastreamento na cadeia compilados pela empresa de segurança Blockaid, o incidente teve como alvo especificamente o aparato de segurança central da carteira multiassinatura (multisig) do projeto StablR.
Assim que o atacante conseguiu sequestrar as permissões de gerenciamento dos contratos inteligentes USDR e EURR, eles executaram uma extração de duas frentes:
Cunhagem de Tokens: Os exploradores cunharam ilegalmente 8,35 milhões de USDR e 4,5 milhões de EURR sem qualquer garantia de colateral.
A Liquidação: Esses tokens recém-cunhados foram rapidamente vendidos em exchanges descentralizadas (DEXs) por Ethereum. Como a liquidez nesses pools era escassa, o influxo massivo de tokens provocou alta slippage.
A Recompensa: O atacante trocou com sucesso o valor facial de US$ 10,4 milhões em stablecoins não garantidas por 1.115 ETH (avaliados em aproximadamente US$ 2,8 milhões).
Uma Análise das Falhas de Governança
Analistas de segurança enfatizam que esse incidente não foi causado por uma vulnerabilidade típica e complexa de código de contrato inteligente. Em vez disso, decorre inteiramente de falhas graves e fundamentais na governança do protocolo e na supervisão operacional pelo emissor da stablecoin.
🛑 Falhas Críticas de Governança Exploradas
O Limite de Assinatura de 1-de-3: A carteira multiassinatura havia sido configurada de forma inadequada para um limite frouxo de 1-de-3. Isso significava que uma única assinatura autorizada poderia executar qualquer comando de alto nível. Consequentemente, comprometer apenas uma chave de proprietário concedia ao atacante controle operacional total sobre todo o sistema, permitindo que adicionasse a si mesmo e removesse os demais proprietários legítimos.
Custódia Negligente de Chave Privada: Uma segurança operacional precária (OpSec) levou diretamente à exposição e vazamento da chave privada de um proprietário, dando ao atacante a assinatura única de que precisava.
Ausência de um Time-Lock: O protocolo não possuía um mecanismo de bloqueio de tempo. Como não havia atraso obrigatório ou fase de confirmação secundária para finalizar atualizações administrativas, o atacante conseguiu trocar instantaneamente as permissões de propriedade e executar a cunhagem com zero tempo de buffer para a equipe intervir.
O Paradoxo da Conformidade: O StablR se posicionou como um emissor de stablecoin totalmente compatível e 100% colateralizado, voltado para o framework de Mercados de Cripto-Ativos (MiCA) da UE. Embora seus sistemas de reserva e contas fiduciárias segregadas permanecessem intactos por baixo da superfície, a exploração revela uma lição crítica para a indústria: conformidade regulatória e auditorias rigorosas não protegem um protocolo se suas camadas de segurança operacional diária sofrerem vulnerabilidades de ponto único de falha centralizado.