#TradeCFDWinGold Protocolo de Stablecoin StablR sofre grande exploração; EURR e USDR perdem 20% de valor

24 DE MAIO DE 2026 — O protocolo de stablecoin StablR foi atingido por uma devastadora exploração de governança durante o fim de semana, resultando na tomada maliciosa de seus contratos de tokens e em um evento massivo de cunhagem não autorizada. O atacante conseguiu substituir as permissões de proprietário do protocolo, posteriormente cunhando e vendendo milhões de dólares em suas stablecoins nativas Euro (EURR) e USD (USDR), levando ambos os ativos a uma desvalorização acentuada de 20%.
A Anatomia do Ataque
De acordo com dados de rastreamento na cadeia compilados pela empresa de segurança Blockaid, o incidente teve como alvo especificamente o aparato de segurança central da carteira multiassinatura (multisig) do projeto StablR.
Assim que o atacante conseguiu sequestrar as permissões de gestão dos contratos inteligentes USDR e EURR, executou uma extração de duas frentes:
Cunhagem de Tokens: Os exploradores cunharam ilegalmente 8,35 milhões de USDR e 4,5 milhões de EURR sem qualquer garantia de colateral.
A Liquidação: Esses tokens recém-cunhados foram rapidamente vendidos em exchanges descentralizadas (DEXs) por Ethereum. Como a liquidez nesses pools era escassa, o influxo massivo de tokens provocou alta slippage.
A Recompensa: O atacante trocou com sucesso o valor de face de 10,4 milhões de dólares em stablecoins não garantidas por 1.115 ETH (avaliados em aproximadamente 2,8 milhões de dólares).
Uma Análise das Falhas de Governança
Analistas de segurança enfatizam que este incidente não foi causado por uma vulnerabilidade típica e complexa de código de contrato inteligente. Em vez disso, decorre inteiramente de falhas graves e fundamentais na governança do protocolo e na supervisão operacional pelo emissor da stablecoin.
🛑 Falhas Críticas de Governança Exploradas
O Limite de Assinaturas 1-de-3: A carteira multiassinatura tinha sido configurada de forma inadequada para um limite frouxo de 1-de-3. Isso significava que uma única assinatura autorizada poderia executar qualquer comando de alto nível. Consequentemente, comprometer apenas uma chave de proprietário concedia ao atacante controle operacional total sobre todo o sistema, permitindo que adicionasse a si mesmo e removesse os demais proprietários legítimos.
Custódia Negligente de Chaves Privadas: Uma segurança operacional fraca (OpSec) levou diretamente à exposição e vazamento da chave privada de um proprietário, dando ao atacante a assinatura única de que precisava.
Ausência de um Time-Lock: O protocolo não possuía um mecanismo de bloqueio de tempo. Como não havia um atraso obrigatório ou fase de confirmação secundária para finalizar atualizações administrativas, o atacante conseguiu alterar instantaneamente as permissões de propriedade e executar a cunhagem com zero tempo de buffer para a equipe intervir.
O Paradoxo da Conformidade: O StablR posicionou-se como um emissor de stablecoin totalmente compatível e 100% colateralizado, voltado para o quadro regulatório de Mercado de Criptoativos (MiCA) da UE. Embora seus sistemas de reserva e contas fiduciárias segregadas permanecessem intactos por baixo da superfície, o exploit revela uma lição crítica para a indústria: conformidade regulatória e auditorias rigorosas não protegem um protocolo se suas camadas de segurança operacional diária sofrerem vulnerabilidades de ponto único de falha centralizado.