Hoje, um grande exploit atingiu os smart contracts que emitem as stablecoins USDR e EURR. O atacante conseguiu cunhar 16,76 milhões de USDR e 9,11 milhões de EURR do nada e depois trocou uma parte desses tokens sem lastro por outros ativos cripto.
Você percebeu que hacks dessa escala começaram a parecer rotineiros? Eu acompanho notícias de cripto todo dia e vou ser honesto com você: meus olhos simplesmente passam por mais uma manchete sobre um exploit de vários milhões. Como se não houvesse nada de notável nisso!
E, ainda assim, por trás de cada um desses hacks há problemas reais enfrentados por pessoas comuns que usam blockchains e criptomoedas como sua principal forma de guardar e gerir suas economias.
Hoje, justamente quando o ataque à StablR (emissora do USDR e do EURR) estava se desenrolando e os preços de ambos os tokens começavam a cair, a rabbit.io recebeu um pedido para trocar 2.000 USDR por USDT. Nosso sistema automatizado executou todas as checagens: o endereço do cliente não tinha conexão com o exploit, ele vinha segurando USDR há quase um ano, e essa solicitação de swap quase certamente significava alguém tentando resgatar suas economias. Processamos a troca à cotação disponível naquele momento, e o cliente perdeu pouco mais de 1% — mesmo que, em minutos, o preço do USDR tenha caído 25% e, mais tarde, em meio ao pânico, tenha chegado a quase $0,40.
Mas quando, algumas horas depois, o mesmo cliente submeteu um pedido para trocar mais 50.000 USDR, já não pudemos mais oferecer a troca sem perdas significativas.
O Que Realmente Aconteceu
Às 01:46 UTC de hoje, o canal de investigações do ZachXBT no Telegram publicou uma mensagem sobre um possível exploit dos smart contracts da StablR no valor aproximado de $10 milhões.
Mais tarde revelou-se que os hackers obtiveram a chave privada de um dos proprietários do endereço multisig da StablR responsável por cunhar novos tokens. O problema foi agravado por um limiar de segurança extremamente baixo: entre as três chaves privadas disponíveis, apenas uma bastava para autorizar qualquer operação. Em outras palavras, isso não era realmente um multisig. O sentido de um multisig é que várias assinaturas são necessárias para executar uma operação. Aqui, não só uma assinatura era suficiente — qualquer única servia. Um “multisig” assim não aumenta a segurança do endereço; na verdade, reduz-a por três. Os hackers usaram a chave comprometida para cunhar milhões de tokens USDR e EURR do nada.
Na Europa, onde a equipe da StablR presumivelmente está baseada, era madrugada entre sábado e domingo, então o ataque continuou por várias horas. Os últimos 900.000 EURR não autorizados chegaram à rede às 4:03 UTC.
À medida que a oferta de ambos os tokens aumentou dramaticamente — e, claro, foi imediatamente para o mercado — os preços do USDR e do EURR despencaram e ainda não se recuperaram.
O Que São Esses Tokens e Quem os Usa?
USDR (StablR USD) é uma stablecoin lastreada em fiat atrelada 1:1 ao dólar americano, rodando na rede Ethereum. É emitida pela fintech europeia StablR, registrada como Instituição de Dinheiro Eletrônico (EMI) e regulada pela Malta Financial Services Authority (MFSA), com escritórios adicionais na Holanda. EURR é a stablecoin da mesma empresa atrelada ao euro.
No final de 2024, a StablR recebeu um investimento da Tether (emissora do USDT), que claramente buscava, dessa forma, manter um pé no mercado cripto europeu após a entrada em vigor da regulação MiCA — regras que tornam praticamente impossível para empresas registradas na Europa usarem USDT.
Deixe-me falar um pouco mais sobre o USDR, o token que nosso cliente possuía. Comparado a gigantes como USDT e USDC, que movimentam dezenas de bilhões de dólares, o USDR é um projeto diminuto. Após a cunhagem de 16,76 milhões de tokens sem lastro na noite passada, o fornecimento total de USDR em circulação, segundo o Etherscan, está em 21.076.437. O que significa que, antes do hack de hoje, sua capitalização de mercado estava abaixo de $5 milhões.
Então por que alguém escolheria isso em vez de USDT ou USDC? A razão é que a StablR desenhou seus tokens especificamente para conformidade com MiCA. Eles são completamente transparentes do ponto de vista legal:
- O lastro em fiat é mantido em contas segregadas em bancos europeus regulados.
- Eles passam por auditorias regulares de grandes firmas de auditoria (por exemplo, Grant Thornton).
É muito provável que nosso cliente — que possuía pelo menos 52.000 USDR — fosse ou um residente da UE ou alguém operando dentro do quadro jurídico europeu. Para ele, era importante usar não o USDT, mas um ativo “limpo”, comprovadamente legal e aprovado por reguladores, para evitar problemas com impostos ou bancos.
E hoje, por causa da falha técnica de segurança da StablR, esse mesmo usuário decidiu urgentemente transferir suas posições para USDT — um token que não oferece a ele nem certeza legal nem operacional na Europa. E perdeu uma quantia significativa de dinheiro no processo. Nem as licenças nem as auditorias financeiras do emissor foram suficientes para proteger nosso cliente das perdas.
Então O Que Fazemos Se Até Esses Ativos Cripto Se Mostram Não Confiáveis?
Há muito tempo escrevo sobre como governos e os bancos que eles regulam têm empurrado ativamente as pessoas para fora do sistema financeiro tradicional e em direção ao armazenamento de suas economias em blockchains, onde ninguém pode confiscá-las.
Mas a corrente constante de hacks que vimos nos últimos meses mostra o quão arriscado esse tipo de armazenamento pode ser. Não me surpreenderia se muitos usuários de cripto começassem a se perguntar se é hora de mover suas economias de volta para os bancos. Os bancos podem censurar suas transferências e pagamentos, recusar a dar-lhe dinheiro — mas pelo menos não são roubados com a frequência com que projetos cripto são.
O lado técnico de quase todo serviço cripto é totalmente open source. E agora que a pesquisa de vulnerabilidades está sendo realizada 24 horas por dia por modelos de IA que ficam cada vez mais inteligentes, devemos esperar que essa onda de exploits continue e até acelere. Tudo que pode ser hackeado, será hackeado.
Isso significa que é hora de abandonar as criptomoedas de vez? Não. Mas eu acho que faz sentido, ao menos temporariamente, reduzir nosso envolvimento em esquemas que envolvem camadas corporativas em torno do cripto. São justamente esses que são hackeados, não as criptomoedas em si. O protocolo base do Bitcoin não foi hackeado nem uma vez em 17 anos — simplesmente porque sua arquitetura não contém proprietários privilegiados, botões de cunhagem ou chaves administrativas que um hacker pudesse roubar de uma equipe dormindo.
Quanto mais um ativo se afasta da matemática pura e descentralizada e se aproxima do controle humano, mais vulnerável ele se torna. É por isso que até mesmo o Ethereum, com a influência centralizada da Ethereum Foundation reescrevendo regras a cada hard fork, não pode servir como parâmetro de confiabilidade. Armazenamento verdadeiramente seguro existe apenas onde não há uma entidade com autoridade para mudar as regras em seu próprio favor.
Acredito que todo usuário de criptomoedas sabe disso. E ainda assim, para armazenamento cotidiano e transações comuns, pouquíssimas pessoas usam criptomoedas como o bitcoin. Enquanto os preços são cotados em moedas fiat, todos querem que o saldo em sua carteira seja fixo em termos fiat também — para que amanhã não seja surpresa ter 10–15% a menos do que tinham hoje.
Então o que um usuário comum deve fazer, se ainda precisa da estabilidade familiar do dólar? Honestamente, não tenho uma boa resposta para isso. Nosso cliente fez sua escolha hoje: percebendo o perigo do USDR, decidiu mover seus fundos para USDT. O USDT existe há mais de dez anos. Sim, seu emissor poderia reescrever as regras a qualquer momento, mas em todos esses anos ninguém ainda encontrou uma maneira de explorar essa possibilidade.
E o que é mais estranho de tudo é que, mesmo quando centenas de milhões de USDT completamente sem lastro circulavam no mercado, isso não afetou o preço do token. Ninguém questiona quando a Tether lança mais um bilhão de USDT no mercado. Se todos os detentores sabem que de qualquer forma não podem recorrer ao emissor e exigir dólares em troca de seus tokens, que diferença faz se esses tokens são lastreados? O USDT repousa na crença de que, aconteça o que acontecer, sempre haverá alguém no mercado cripto disposto a dar ativos no valor de 1 USD por 1 USDT. Consigo imaginar que essa crença poderia sobreviver a qualquer hack.
Stablecoins mais jovens simplesmente ainda não acumularam crentes suficientes para construir o mesmo tipo de aura de confiabilidade à sua volta.
Portanto, paradoxalmente, escolher uma stablecoin que é o mais centralizada possível e que não passou por nenhuma auditoria séria pode acabar sendo uma decisão perfeitamente racional.
A outra opção são stablecoins como Liquity USD, crvUSD e DAI. Por design, seus contratos não podem ser alterados, e não há um emissor centralizado que possa falsificar o colateral ou se recusar a devolvê-lo. Seus smart contracts ainda não foram hackeados. Dito isso, isso não significa que modelos de IA — com seu atual poder computacional e conhecimento — não possam, em princípio, encontrar uma forma de quebrá-los.
É por isso que ainda acredito que ativos cripto atrelados a fiat só podem ser uma solução temporária, adequada para gastos cotidianos. Para armazenamento real de riqueza, existe apenas o Bitcoin e criptomoedas do mesmo tipo.
